--- title: "Dev, se benze! Pacotes NPM e extensões do VSCode são sequestrados em onda de ataques" author: "Lígia Lemos Maia" date: "2025-09-14 08:41:00-03" category: "Segurança & Privacidade" url: "http://desbugados.scale.press/portal/desbugados/post/2025/09/14/dev-se-benze-pacotes-npm-e-extensoes-do-vscode-sao-sequestrados-em-onda-de-ataques/md" --- ## Confiança Quebrada no Coração do Código Vivemos em um tempo onde a arquitetura digital do nosso mundo é construída sobre camadas e mais camadas de confiança. Confiamos nos repositórios, nas bibliotecas que importamos e nas ferramentas que estendem nossas capacidades. Mas o que acontece quando essa confiança é metodicamente violada? Nos últimos dias, a comunidade de desenvolvimento de software foi forçada a encarar essa questão de frente. Uma série de ataques sofisticados transformou ferramentas cotidianas em vetores de ameaça, visando o que há de mais valioso para muitos na era digital: suas criptomoedas. Desenvolvedores, antes arquitetos de seus universos digitais, agora se veem obrigados a olhar para suas próprias caixas de ferramentas com uma dose de paranoia. ## O Pato Caiu na Rede: O Caso dos Pacotes NPM A primeira frente de ataque foi identificada pela empresa de segurança **Aikido Security**. A partir de 9 de setembro, um alerta soou quando pacotes NPM extremamente populares começaram a ser comprometidos. Entre eles, a biblioteca duckdb e suas variantes, que juntas somam centenas de milhares de downloads semanais. Conforme detalhado pela Aikido, novas versões maliciosas foram publicadas, contendo um payload quase idêntico a ataques anteriores, com um objetivo claro: interceptar atividades relacionadas a web3 e criptoativos no navegador para desviar fundos. A ironia parece ter sido escrita por um roteirista com um humor sombrio. Segundo os dados do registro NPM, o pacote malicioso foi enviado pelo usuário `duckdb_admin`, associado ao e-mail `quack[at]duckdb.org`. O relatório da Aikido Security sugere que, assim como em outros incidentes, a porta de entrada foi um ataque de phishing. O caçador virou a caça; o pato, ao que tudo indica, foi fisgado. A escolha de um pacote como o duckdb, que opera primariamente no backend, para implantar um malware focado em atividades de frontend, levanta a questão: seriam os atacantes descuidados ou simplesmente indiferentes ao alvo, atirando para todos os lados na esperança de acertar algo? A lista de pacotes afetados, conforme publicado pelo The New Stack, é um verdadeiro "quem é quem" do ecossistema JavaScript, incluindo gigantes com mais de 2 bilhões de downloads semanais combinados: - **chalk:** ~300 milhões de downloads/semana - **debug:** ~357 milhões de downloads/semana - **ansi-styles:** ~371 milhões de downloads/semana - **supports-color:** ~287 milhões de downloads/semana - **strip-ansi:** ~261 milhões de downloads/semana ## A Cobra Branca no Jardim do VSCode Enquanto a poeira mal assentava no universo NPM, uma segunda ofensiva se desenrolava no marketplace do Visual Studio Code. Um grupo de hackers, autodenominado **'WhiteCobra'**, inundou o marketplace oficial e o registro Open VSX com pelo menos 24 extensões maliciosas, conforme reportado pelo **BleepingComputer**, com base em pesquisas da empresa de segurança **Koi Security**. A estratégia da 'WhiteCobra' é uma aula de engenharia social. As extensões maliciosas são disfarçadas de ferramentas legítimas, com ícones profissionais, descrições detalhadas e, o mais preocupante, dezenas de milhares de downloads forjados para criar uma falsa sensação de segurança. O desenvolvedor core de Ethereum, Zak Cole, relatou publicamente como sua carteira foi drenada após instalar uma dessas extensões aparentemente inofensivas, a `contractshark.solidity-lang`, que ostentava 54.000 downloads. O modus operandi, segundo a Koi Security, é engenhoso. A execução começa com um arquivo `extension.js` quase idêntico ao boilerplate padrão, que por sua vez invoca um segundo script, `prompt.js`. Este último baixa um payload específico para o sistema operacional da vítima. Em máquinas Windows, um script PowerShell executa um código Python que injeta o infame **LummaStealer**, um malware conhecido por roubar dados de carteiras de criptomoedas, credenciais de navegadores e aplicativos de mensagens. A Koi Security ainda revelou a existência de um "playbook" interno do grupo 'WhiteCobra', que detalha metas de faturamento entre $10.000 e $500.000 e estratégias de promoção, confirmando que não se trata de um ato isolado, mas de uma operação criminosa organizada e persistente. ## Um Ecossistema em Xeque: O Fim da Inocência Esses dois incidentes, ocorrendo quase simultaneamente, não são eventos isolados, mas sintomas de uma doença que corrói a cadeia de suprimentos de software. A conveniência e a velocidade proporcionadas pelos ecossistemas de código aberto se tornaram sua maior vulnerabilidade. Cada comando `npm install`, cada nova extensão adicionada ao nosso ambiente de desenvolvimento, é um salto de fé. Um salto que, agora sabemos, pode terminar em um abismo financeiro. Para nós, desenvolvedores, o que isso significa? Significa que a era da inocência acabou. A vigilância constante não é mais uma opção, é a premissa básica para sobreviver. Verificar a origem de cada dependência, desconfiar de popularidade súbita e auditar as ferramentas se tornaram tarefas tão essenciais quanto escrever código. A questão que fica, flutuando como um fantasma sobre nossos terminais, é filosófica e profundamente prática: até que ponto a estrutura que nos permite construir o futuro também está construindo nossa própria ruína? O código que escrevemos agora nos observa de volta, e nem sempre com boas intenções.