Pacote npm Malicioso `react-refresh-update` Infecta Máquinas de Desenvolvedores com Trojan Multiplataforma

A SafeDep identificou o pacote react-refresh-update, um typosquat do react-refresh da Meta (42 milhões de downloads semanais), que injetou um dropper ofuscado por XOR de duas camadas no runtime.js . Ele executa silenciosamente em require() sem install hooks e foi atribuído à campanha DeceptiveDevelopment do Lazarus Group, utilizando o domínio C2 malicanbur[.]pro e o IP secundário 173.211.46[.]22:8080. O binário de segunda fase foi classificado como PylangGhost RAT por múltiplos fornecedores de antivírus.

O payload é sensível ao sistema operacional : no Windows, busca um arquivo autoextraível de 28.71 MB via chunked axios range requests e executa start.vbs via um processo wscript oculto e desanexado. No Linux e macOS, baixa e executa /var/tmp/macspatch.sh com a verificação TLS desabilitada. O padrão de execução encrypted-in-memory eval() evade ferramentas de análise estática que buscam referências a child_process, marcando esta campanha uma escalada notável no direcionamento da cadeia de suprimentos de agentes de codificação de IA ️, onde números de versão inflacionados e codebases espelhados podem passar por seleção automatizada de pacotes sem revisão humana.