2026-06-20 00:00
← VoltarA Microsoft atribuiu um recente ataque à cadeia de suprimentos da Mastra AI que comprometeu mais de 140 pacotes npm ao grupo de hackers norte-coreano Sapphire Sleet, também conhecido como BlueNoroff. Essa atribuição ocorre depois que a Microsoft divulgou pela primeira vez no início desta semana que invasores sequestraram uma conta de mantenedor do NPM e a usaram para publicar atualizações de pacotes maliciosos. “A Microsoft avalia com grande confiança que esta atividade é atribuível à Sapphire Sleet, um ator estatal norte-coreano que visa principalmente o setor financeiro”, disse a empresa numa atualização de 19 de junho. De acordo com a Microsoft, o ataque começou quando os agentes da ameaça comprometeram a conta do mantenedor do npm “ehindero”, que tinha privilégios de publicação no ambiente de pacotes Mastra. Usando a conta, os invasores publicaram atualizações maliciosas para mais de 140 pacotes no escopo @mastra que injetaram uma dependência maliciosa chamada “easy-day-js”. Essa dependência é um typosquat da biblioteca JavaScript dayjs legítima e amplamente usada. Quando os pacotes comprometidos foram instalados, a dependência maliciosa executou um gancho pós-instalação que implantou um dropper de malware nos dispositivos dos desenvolvedores, com o objetivo final de roubar credenciais confidenciais, chaves de API, tokens de autenticação e carteiras de criptomoedas. “Uma vez instalado, o easy-day-js acionou um gancho pós-instalação que executou um script dropper...
A Microsoft atribuiu um recente ataque à cadeia de suprimentos da Mastra AI que comprometeu mais de 140 pacotes npm ao grupo de hackers norte-coreano Sapphire Sleet, também conhecido como BlueNoroff. Essa atribuição ocorre depois que a Microsoft divulgou pela primeira vez no início desta semana que invasores sequestraram uma conta de mantenedor do NPM e a usaram para publicar atualizações de pacotes maliciosos. “A Microsoft avalia com grande confiança que esta atividade é atribuível à Sapphire Sleet, um ator estatal norte-coreano que visa principalmente o setor financeiro”, disse a empresa numa atualização de 19 de junho. De acordo com a Microsoft, o ataque começou quando os agentes da ameaça comprometeram a conta do mantenedor do npm “ehindero”, que tinha privilégios de publicação no ambiente de pacotes Mastra. Usando a conta, os invasores publicaram atualizações maliciosas para mais de 140 pacotes no escopo @mastra que injetaram uma dependência maliciosa chamada “easy-day-js”. Essa dependência é um typosquat da biblioteca JavaScript dayjs legítima e amplamente usada. Quando os pacotes comprometidos foram instalados, a dependência maliciosa executou um gancho pós-instalação que implantou um dropper de malware nos dispositivos dos desenvolvedores, com o objetivo final de roubar credenciais confidenciais, chaves de API, tokens de autenticação e carteiras de criptomoedas. “Uma vez instalado, o easy-day-js acionou um gancho pós-instalação que executou um script dropper ofuscado, desativou a verificação do certificado Transport Layer Security (TLS), contatou a infraestrutura de comando e controle (C2) controlada pelo invasor, baixou uma carga útil de segundo estágio e executou a carga como um processo oculto desanexado”, explica a Microsoft.
Malware de plataforma cruzada tem como alvo carteiras criptográficas A carga útil de segundo estágio baixada era um ladrão de informações de plataforma cruzada projetado para atingir sistemas Windows, Linux e macOS. O implante coletou informações sobre o host, históricos do navegador, aplicativos instalados e processos em execução, e verificou se 166 extensões de navegador de carteira de criptomoeda foram instaladas, incluindo MetaMask, Phantom, Coinbase Wallet, Binance Wallet e TronLink. O malware também usou diferentes métodos de persistência dependendo do sistema operacional, como chaves de execução do registro do Windows, macOS LaunchAgents e serviços systemd do Linux. Comprometimento da cadeia de suprimentos Mastra npm Fonte: Microsoft A Microsoft afirma que os sistemas que se comunicavam com os servidores de comando e controle dos invasores tiveram atividades subsequentes que utilizaram táticas anteriormente associadas ao Sapphire Sleet. Isso inclui a implantação de um backdoor do PowerShell usado anteriormente pelo grupo, mecanismos de persistência adicionais, exclusões do Microsoft Defender e um serviço malicioso do Windows que concedia privilégios de SYSTEM. “O backdoor, o tradecraft e a infraestrutura C2 do PowerShell foram usados pela Sapphire Sleet em outras campanhas anteriores”, explicou a Microsoft. Sapphire Sleet é um ator de ameaças patrocinado pelo estado norte-coreano, conhecido por campanhas de roubo de criptomoedas, extensões de navegador maliciosas, ofertas de emprego falsas e comprometimentos da cadeia de fornecimento de software projetados para roubar credenciais e ativos de criptomoeda. A Microsoft afirma que o grupo também foi responsável por um ataque separado à cadeia de suprimentos npm no cliente HTTP Axios em abril de 2026.