Eles injetaram um malware disfarçado como easy-day-js, um typosquat do pacote legítimo dayjs, visando roubar credenciais, tokens de autenticação e carteiras de criptomoedas em sistemas Windows, Linux e macOS.
Em resumo
-
Ataque principal — Comprometimento de 140+ pacotes npm do Mastra com injeção de malware easy-day-js.
-
Método de roubo — Dropper desabilita verificações TLS, baixa payloads e persiste via Registry no Windows, LaunchAgents no macOS e systemd no Linux.
-
Alvos afetados — Credenciais de desenvolvedores, tokens de serviços e wallets crypto em múltiplas plataformas.
-
Atribuição — Sapphire Sleet (Coreia do Norte), confirmado pela Microsoft com evidências de infraestrutura compartilhada.
O malware opera de forma stealthy após a instalação inadvertida por desenvolvedores que buscam dependências para projetos de IA. Ele exfiltra dados sensíveis para servidores controlados pelos atacantes, explorando a confiança inerente ao ecossistema npm. Desenvolvedores de IA enfrentam agora um risco ampliado, pois ferramentas como Mastra integram fluxos de trabalho diários, ampliando a superfície de ataque em projetos sensíveis.
O que disse a Microsoft
Nós atribuímos este ataque ao grupo Sapphire Sleet com alta confiança, baseado em sobreposições de infraestrutura, táticas e técnicas observadas em campanhas anteriores.
Essa declaração reforça a ameaça persistente de atores estatais em ecossistemas open-source. A Microsoft Threat Intelligence detalha persistência avançada, incluindo backdoors em PowerShell para acessos remotos prolongados.
Contexto de mercado
Desenvolvedores de IA e empresas tech precisam revisar dependências npm imediatamente, priorizando ferramentas de auditoria como Sigstore ou npm audit. Ataques como esse erodem a confiança no suprimento de software aberto, similar a incidentes como SolarWinds, mas com foco em finanças e crypto. O impacto se estende a startups de IA, que dependem de pacotes ágeis para protótipos rápidos, potencializando perdas financeiras e vazamentos de propriedade intelectual. No mercado global, isso acelera investimentos em verificação de cadeia de suprimentos, beneficiando soluções de segurança como as da própria Microsoft.