Um grande ataque à cadeia de suprimentos de JavaScript comprometeu centenas de pacotes de software, incluindo pelo menos 10 amplamente usados no ecossistema de criptomoedas, segundo pesquisa da empresa de cibersegurança Aikido Security.
Em uma postagem na segunda-feira, Charlie Eriksen, pesquisador da Aikido Security, compartilhou os nomes de mais de 400 pacotes que apresentaram sinais de infecção com o malware autorreplicante “Shai Hulud”, utilizado no atual ataque à cadeia de suprimentos da biblioteca JavaScript NPM. Eriksen disse que validou cada detecção para evitar falsos positivos.
Muitos dos pacotes relacionados a criptomoedas envolvidos recebem dezenas de milhares de downloads por semana e possuem inúmeros outros pacotes que dependem deles para funcionar. Em uma postagem no X publicada mais cedo na segunda-feira, Eriksen também alertou a equipe do Ethereum Name Service (ENS) de que vários de seus pacotes foram afetados.
Shai Hulud faz parte de uma tendência mais ampla de ataques à cadeia de suprimentos. No início de setembro, o maior ataque NPM já registrado fez invasores roubarem US$ 50 milhões em criptomoedas. A Amazon Web Services observou que esse primeiro ataque foi seguido pela propagação autônoma do worm Shai Hulud uma semana depois.
Enquanto o ataque anterior mirava diretamente criptomoedas para roubar ativos, o Shai Hulud é um malware de roubo de credenciais de uso geral que se espalha autonomamente pela infraestrutura de desenvolvimento. Se o ambiente infectado contiver chaves de carteiras, o malware as roubará como “segredos”, assim como qualquer outra credencial.
Slava Demchuk, CEO da empresa de perícia cripto AMLBot, disse ao Cointelegraph que “uma vez que um sistema é infectado, o worm colhe segredos, se replica, torna repositórios privados públicos e continua a se espalhar”. Qualquer sistema onde um pacote comprometido seja instalado pode ser infectado, mas até agora, “não há menção a chaves de carteira ou outros ativos desse tipo”.
“No entanto, se houver segredos sensíveis presentes no ambiente onde os pacotes infectados estão instalados, e esses segredos concederem acesso a outros sistemas, assumam que foram expostos”, alertou Demchuk.
Quais pacotes de cripto foram afetados?
Entre todos os pacotes afetados, pelo menos 10 estavam especificamente ligados ao setor de criptomoedas, sendo a maioria conectada ao ENS, um serviço de nomes legíveis por humanos. Entre os pacotes afetados estavam o content-hash do ENS, com quase 36.000 downloads semanais e 91 pacotes de software que dependem dele, assim como o address-encoder, com mais de 37.500 downloads semanais.
Outros pacotes do ENS afetados incluem ensjs (mais de 30.000 downloads semanais), ens-validation (1.750 downloads semanais), ethereum-ens (12.650 downloads semanais) e ens-contracts (quase 3.100 downloads semanais). Um pacote relacionado a criptomoedas não vinculado ao ENS, chamado crypto-addr-codec, também foi comprometido, com quase 35.000 downloads.
Pacotes populares não relacionados a cripto afetados
Pacotes não relacionados a cripto afetados incluem alguns oferecidos pela plataforma corporativa de automação Zapier, incluindo um com mais de 40.000 downloads por semana e muitos outros próximos desse número. Em uma postagem subsequente, Eriksen apontou outros pacotes infectados, alguns com quase 70.000 downloads semanais, e outro ultrapassando 1,5 milhão de downloads por semana.
“O alcance desse novo ataque Shai Hulud é francamente massivo; ainda estamos trabalhando na fila para confirmar tudo”, escreveu Eriksen no X.
“Ele fará o ataque anterior parecer nada.“
Pesquisadores da empresa de cibersegurança Wiz afirmam ter “identificado mais de 25.000 repositórios afetados entre cerca de 350 usuários únicos, com 1.000 novos repositórios sendo adicionados consistentemente a cada 30 minutos nas últimas horas”. A empresa recomenda “investigação e remediação imediatas” para qualquer ambiente que utilize npm.