Pacote npm malicioso nodejs-smtp visa carteiras de criptomoedas

Pesquisadores de segurança descobriram um pacote npm malicioso chamado "nodejs-smtp" que se disfarça da biblioteca legítima nodemailer. O pacote, que teve 347 downloads antes de ser removido, foi criado em abril de 2025 por um usuário chamado "nikotimon".

O pacote malicioso tem como alvo aplicativos de desktop de carteiras de criptomoedas Atomic e Exodus em sistemas Windows. Ele utiliza ferramentas Electron para descompactar o app.asar da Atomic Wallet, substituir um pacote vendor por uma carga maliciosa e reempacotar a aplicação.

O objetivo principal é atuar como um "cryptocurrency clipper", substituindo endereços de destinatário por carteiras controladas pelos atacantes, redirecionando transações de Bitcoin, Ethereum, Tether, XRP e Solana.

Para evitar suspeitas, o pacote mantém sua funcionalidade declarada como um mailer SMTP, oferecendo uma interface compatível com o nodemailer legítimo.

Esta campanha demonstra como uma importação rotineira em uma estação de trabalho de desenvolvedor pode modificar silenciosamente um aplicativo desktop separado e persistir entre reinicializações do sistema.