36 pacotes maliciosos no npm se disfarçavam de plugins do Strapi

Pesquisadores encontraram 36 pacotes maliciosos no npm disfarçados de plugins do Strapi CMS — todos com payloads prontos para explorar Redis, PostgreSQL e roubar credenciais.

Os pacotes usavam nomes como "strapi-plugin-cron" e "strapi-plugin-database" para enganar devs, e rodavam código malicioso automaticamente no npm install via hook de postinstall. A evolução dos payloads mostra um atacante que começou agressivo com reverse shells e escape de Docker, depois pivotou para reconhecimento, coleta de secrets e acesso persistente — tudo com credenciais hardcoded apontando para um alvo específico do setor de criptomoedas.

Se você usa Strapi, vale conferir se algum desses pacotes passou pelo seu projeto.

👉 Leia o artigo completo de Ravie Lakshmanan no The Hacker News

Créditos: Ravie Lakshmanan / The Hacker News — Abril 2026