Hackers comprometeram bibliotecas amplamente utilizadas de software JavaScript no que está sendo chamado de o maior ataque à cadeia de suprimentos da história. O malware injetado teria sido projetado para roubar cripto, trocando endereços de carteira e interceptando transações.
De acordo com vários relatórios na segunda-feira, hackers invadiram a conta do Node Package Manager (NPM) de um desenvolvedor conhecido e secretamente adicionaram malware a bibliotecas JavaScript populares usadas por milhões de aplicativos.
O código malicioso troca ou sequestra endereços de carteiras cripto, potencialmente colocando muitos projetos em risco.
“Há um ataque em larga escala à cadeia de suprimentos em andamento: a conta NPM de um desenvolvedor respeitável foi comprometida”, alertou o diretor de tecnologia da Ledger, Charles Guillemet, em postagem na segunda-feira. “Os pacotes afetados já foram baixados mais de 1 bilhão de vezes, o que significa que todo o ecossistema JavaScript pode estar em risco.”
A violação teve como alvo pacotes como chalk, strip-ansi e color-convert — pequenas utilidades enterradas nas árvores de dependência de inúmeros projetos. Juntas, essas bibliotecas são baixadas mais de um bilhão de vezes por semana, o que significa que até mesmo desenvolvedores que nunca as instalaram diretamente podem estar expostos.
O NPM é como uma loja de aplicativos para desenvolvedores — uma biblioteca central onde eles compartilham e baixam pequenos pacotes de código para construir projetos JavaScript.
Os atacantes parecem ter implantado um crypto-clipper, um tipo de malware que substitui silenciosamente endereços de carteira durante transações para desviar fundos.
Pesquisadores de segurança alertaram que usuários que dependem de carteiras de software podem estar especialmente vulneráveis, enquanto aqueles que confirmam cada transação em uma carteira de hardware estão protegidos.
Usuários são orientados a evitar transações cripto
Segundo postagem no X feita pelo fundador da DefiLlama, Oxngmi, o código malicioso não drena automaticamente as carteiras — os usuários ainda precisariam aprovar uma transação maliciosa.
Como o pacote JavaScript hackeado pode alterar o que acontece quando você clica em um botão, apertar o botão de “swap” em um site afetado poderia trocar os detalhes da transação e enviar os fundos para o hacker.
Ele acrescentou que apenas projetos que foram atualizados após a publicação do pacote comprometido estão em risco, e muitos desenvolvedores “fixam” suas dependências, mantendo versões antigas e seguras.
Ainda assim, como os usuários não conseguem identificar facilmente quais sites foram atualizados com segurança, o melhor é evitar usar sites cripto até que os pacotes afetados sejam limpos.
E-mails de phishing deram acesso a contas de mantenedores do NPM
Os atacantes enviaram e-mails se passando por suporte oficial do NPM, alertando os mantenedores de que suas contas seriam bloqueadas caso não “atualizassem” a autenticação de dois fatores até 10 de setembro.
O site falso capturava credenciais de login, dando aos hackers controle sobre a conta do mantenedor. Uma vez dentro, os atacantes enviaram atualizações maliciosas para pacotes com bilhões de downloads semanais.
Charlie Eriksen, pesquisador da Aikido Security, disse ao BleepingComputer que o ataque foi especialmente perigoso porque operava “em múltiplas camadas: alterando o conteúdo mostrado em sites, adulterando chamadas de API e manipulando o que os aplicativos dos usuários acreditam estar assinando.”
