Hook Malicioso de Pós-instalação Encontrado em Mais de 700 Repositórios GitHub, Incluindo Projetos Packagist e Node.js

Uma campanha coordenada, ligada à conta parikhpreyash4 do GitHub, inseriu um hook de pós-instalação idêntico em arquivos package.json de repositórios upstream. Este hook utiliza `curl -skL` para baixar um binário chamado `gvfsd-network` com a verificação TLS desativada, salvando-o em `/tmp/.sshd` para simular um daemon SSH, e o executa em segundo plano com erros suprimidos. A escolha do `package.json` em vez do `composer.json` visava evadir defensores PHP que analisavam apenas metadados do Composer. Essa carga maliciosa foi confirmada em oito pacotes Packagist que utilizam rastreamento de branch – notavelmente os kits iniciais `devdojo/wave` e `devdojo/genesis`, com aproximadamente 6.400 estrelas, onde o hook é ativado na raiz do projeto. Além disso, o ataque foi plantado em arquivos de workflow do GitHub Actions como uma etapa chamada "Dependency Cache Sync", visando atingir pipelines de CI/CD. Defensores devem inspecionar scripts de ciclo de vida `package.json` em dependências Composer que rastreiam branches, fixar artefatos a estados de commit observados em vez de rótulos `dev-*` mutáveis, e procurar pela URL da carga útil `parikhpreyash4`, pelo caminho de descarte `/tmp/.sshd` e por fragmentos do comando `curl -skL`.