Jscrambler

Pacote jscrambler npm comprometido infostealer em máquinas de desenvolvedores

O pacote jscrambler na versão 8.14.0 foi comprometido, e sua instalação ativa um infostealer em máquinas de desenvolvedores. Publicado em 11 de julho de 2026, essa versão maliciosa contém um hook de pré-instalação que baixa e executa um binário nativo para Windows, macOS e Linux. A análise da StepSecurity e SafeDep revelou que a versão 8.14.0 foi publicada diretamente no npm por uma conta de mantenedor legítima, o que sugere uma conta comprometida ou um pipeline de construção vulnerável. O infostealer, escrito em Rust, visa coletar credenciais de nuvem, senhas de navegadores, e até arquivos de configuração de ferramentas de codificação de IA. Além disso, ele possui capacidades de persistência e anti-debugging, o que o torna ainda mais perigoso. A versão 8.15.0 já foi lançada, mas a 8.14.0 ainda está disponível no npm, representando um risco contínuo para aqueles que não atualizarem. O alerta é claro: qualquer máquina que tenha executado a versão comprometida deve considerar todos os segredos acessíveis como comprometidos e tomar medidas imediatas de mitigação.