PT-2025-37747 · Npm · Color-Convert
Qix-
·
Publicado
2025-09-08
·
Atualizado
2025-09-20
·
CVE-2025-59162
CVSS v4.0
8.8
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:N/SC:N/SI:N/SA:N/E:A/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:Red |
Nome do Software Vulnerável e Versões Afetadas
Versões do color-convert anteriores à 3.1.2
Descrição
O pacote npm color-convert foi comprometido por meio de um ataque de phishing na conta de publicação. Uma versão maliciosa (3.1.1) foi publicada contendo um payload projetado para redirecionar transações de criptomoedas em ambientes de navegador. Ambientes como local, servidor e aplicações de linha de comando não são afetados. O malware tem como alvo especificamente transações de criptomoedas e carteiras como a MetaMask. O pacote comprometido foi removido do registro npm, e novas versões de correção foram publicadas para auxiliar usuários com registros privados.
Recomendações
Atualize para a versão 3.1.2.
Remova completamente o diretório node modules.
Limpe o cache global do gerenciador de pacotes.
Reconstrua quaisquer bundles de navegador do zero.
Elimine as versões comprometidas de quaisquer caches caso opere registros privados ou espelhos de registro.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Color-Convert