36 Pacotes npm Maliciosos Exploram Redis e PostgreSQL para Implantar Ameaças Persistentes

A SafeDep descobriu 36 pacotes npm de typosquatting, que se passavam por plugins do Strapi CMS. Eles foram enviados por quatro contas falsas (sock puppet accounts) ao longo de 13 horas e continham código malicioso em postinstall hooks que são executados automaticamente no `npm install`.

Os payloads evoluíram em oito estágios, avançando desde RCE (Remote Code Execution) baseado em Redis e escapes de contêineres Docker, até a coleta de credenciais de PostgreSQL, exfiltração de variáveis de ambiente e um implante persistente que visava um hostname específico, sugerindo um ataque direcionado contra uma plataforma de criptomoeda. Desenvolvedores que utilizam qualquer um dos pacotes `strapi-plugin-*` sinalizados devem considerar o sistema totalmente comprometido, trocar todas as credenciais e auditar os pipelines de CI/CD em busca de atividade de reverse shell não autorizada.