CVE-2025-59144

Nome do Software Vulnerável e Versões Afetadas versões 4.4.2 do debug

Descrição A conta de publicação do npm para o debug foi comprometida após um ataque de phishing em 8 de setembro de 2025. A versão 4.4.2 foi publicada com um payload malicioso projetado para redirecionar transações de criptomoedas dentro de ambientes de navegador. Ambientes que não utilizam o pacote em um contexto de navegador, como aplicações locais, de servidor ou de linha de comando, não são afetados. O malware tem como alvo especificamente transações de criptomoedas e carteiras como a MetaMask.

Recomendações Atualize para a versão de patch mais recente, remova completamente o diretório node modules, limpe o cache global do gerenciador de pacotes e reconstrua quaisquer bundles do navegador. Aqueles que operam registros privados ou espelhos de registro devem expurgar as versões comprometidas de quaisquer caches. Se o comportamento suspeito persistir após a execução dessas etapas, entre em contato com o proprietário do pacote via Bluesky em https://bsky.app/profile/bad-at-computer.bsky.social ou através da issue de rastreamento no repositório debug em https://github.com/debug-js/debug/issues/1005.