Electron

Pesquisadores em cibersegurança descobriram um pacote npm malicioso chamado nodejs-smtp, que se disfarça como uma biblioteca de e-mail legítima (nodemailer) e tem como alvo aplicativos de desktop para carteiras de criptomoedas, como Atomic e Exodus, em sistemas Windows. Desde sua publicação em abril de 2025, o pacote teve 347 downloads antes de ser removido do registro npm. Ao ser importado, ele utiliza ferramentas do Electron para descompactar o arquivo app.asar da Atomic Wallet, substituindo um pacote legítimo por um payload malicioso e reempacotando o aplicativo, eliminando vestígios da operação. O principal objetivo é redirecionar transações de criptomoedas, como Bitcoin e Ethereum, para carteiras controladas pelo atacante, atuando como um ‘clipper’ de criptomoedas. Apesar de sua funcionalidade maliciosa, o pacote ainda opera como um mailer, o que reduz a suspeita dos desenvolvedores. Essa descoberta ressalta os riscos associados a importações rotineiras em estações de trabalho de desenvolvedores, que podem modificar silenciosamente aplicativos de desktop e persistir após reinicializações.