Pesquisadores de segurança detectaram uma onda de pacotes maliciosos sendo publicados no npm, o maior repositório de bibliotecas Java Script do mundo.

Em menos de uma hora, o grupo criminoso Team PCP havia comprometido 46 pacotes usados por desenvolvedores ao redor do mundo, 28 deles em menos de 60 segundos.

Os criminosos fizeram isso injetando um malware capaz de instalar uma backdoor persistente em qualquer máquina Linux que executasse a instalação.

O ataque, batizado de Canister Worm, estreou uma técnica inédita.

Ele usa um canister na blockchain ICP como servidor de controle, tornando a infraestrutura do malware imune a bloqueios e derrubadas.

A ICP é uma blockchain descentralizada que não pode ser derrubada por autoridades ou bloqueada por provedores de internet.

Os 28 pacotes do escopo @Emil Group foram os primeiros a ser infectados, seguidos de 16 pacotes do @opengov e outros três pacotes individuais: @teale.

io/eslint-config, @airtm/uuid-base32 e @pypestream/floating-ui-dom.

Um escopo funciona como um namespace, um prefixo que agrupa pacotes de uma mesma organização.

Comprometer um escopo inteiro significa que qualquer projeto que dependa de qualquer pacote daquele grupo está exposto.

Os 28 pacotes do @Emil Group foram infectados em menos de 60 segundos.