O Retorno de PhantomRaven: Detecção de Três Novas Ondas de Ataques à Supply Chain do npm

A Endor Labs identificou 88 novos pacotes npm maliciosos em três ondas PhantomRaven (Ondas 2–4), publicadas entre novembro de 2025 e fevereiro de 2026. Desses, 81 pacotes ainda estão ativos e dois servidores C2 permanecem operacionais, ambos instâncias AWS EC2 executando HTTP em texto claro na porta 80. A campanha explora Remote Dynamic Dependencies (RDD), como entradas de URL HTTP no package.json, que fazem com que o próprio npm busque e execute um payload de 259 linhas para coleta de credenciais da infraestrutura do atacante no momento da instalação. Isso exfiltra e-mails de desenvolvedores, tokens de CI/CD e impressões digitais completas do sistema via canais GET/POST/WebSocket triplamente redundantes para os endpoints PHP jpd.php e npm.php. Para defesa, as organizações devem rejeitar qualquer pacote npm com dependências de URL não pertencentes a um registry, bloquear o tráfego HTTP de saída para domínios que correspondam ao padrão de C2 com tema de artefato e auditar pipelines de CI/CD para exposição de tokens em mais de 50 contas npm descartáveis atribuídas a este operador. ️