Pacotes npm com logs de instalação falsos carregam RAT

Pesquisadores descobriram um conjunto de pacotes npm maliciosos, denominado "Ghost campaign", ativo desde o início de fevereiro. Publicados por um único usuário npm, os pacotes exibem logs de instalação falsos com atrasos aleatórios e uma barra de progresso para disfarçar a atividade maliciosa. Durante esse processo falso, os usuários são solicitados a inserir sua senha sudo sob o pretexto de corrigir erros de instalação. Essa senha é então usada para executar um RAT de estágio final que rouba carteiras de criptomoedas e dados sensíveis. Outras pesquisas ligam um pacote relacionado às mesmas técnicas, sugerindo que isso pode ter sido um teste inicial de uma campanha mais ampla.