CTO da Ledger alerta para falha no NPM que coloca em risco a segurança das criptomoedas
Uma violação em grande escala na cadeia de suprimentos abalou a comunidade de código aberto depois que hackers comprometeram a conta do Node Package Manager (NPM) de um desenvolvedor conceituado. Pacotes amplamente usados foram afetados, gerando grandes preocupações em todo o ecossistema JavaScript.
Em resumo
- Hackers assumiram uma conta de desenvolvedor NPM conceituada, desencadeando uma violação na cadeia de suprimentos que colocou a comunidade JavaScript em risco.
- Mais de 1 bilhão de downloads de pacotes comprometidos aumentaram o medo de exposição generalizada em todo o ecossistema.
- Charles Guillemet, CTO da Ledger, aconselhou verificar cada transação e usar carteiras físicas com telas seguras para proteção.
Violação no NPM levanta preocupações sobre segurança das carteiras
Charles Guillemet, diretor de tecnologia da Ledger, revelou a extensão da ameaça. Ele relatou que uma grande conta NPM foi sequestrada e que os pacotes afetados já tinham sido baixados mais de um bilhão de vezes. Diante desse alcance, disse que todo o ecossistema JavaScript poderia estar exposto. O código malicioso atuava silenciosamente, trocando endereços de criptomoedas em tempo real para desviar fundos para os atacantes.
Guillemet recomendou cautela. Explicou que os usuários de carteiras físicas permanecem seguros se verificarem cuidadosamente cada transação antes de aprovar. Para quem depende de carteiras de software, ele recomendou evitar transações on-chain até que a situação fique mais clara. Também observou que ainda não está determinado se os atacantes estão tentando extrair diretamente as seeds de recuperação das carteiras de software.
Desenvolvedor confirma sequestro de conta
O mantenedor no centro da violação, Josh Junon, confirmou que sua conta NPM foi comprometida. Em uma postagem no Bluesky, explicou que o sequestro resultou de uma campanha de phishing. Os atacantes criaram um domínio falso, ‘support [at] npmjs [dot]’ ajuda, projetado para se parecer com o site oficial npmjs.com.
Mantenedores receberam e-mails ameaçadores afirmando que suas contas seriam bloqueadas em 10 de setembro de 2025. Essas mensagens continham links que redirecionavam para sites de phishing, projetados para roubar credenciais. O e-mail falso dizia:
Para manter a segurança e integridade da sua conta, solicitamos gentilmente que você complete esta atualização o mais breve possível. Observe que contas com credenciais 2FA desatualizadas serão temporariamente bloqueadas a partir de 10 de setembro de 2025, para evitar acessos não autorizados.
Outros desenvolvedores logo relataram terem sido alvo da mesma forma, confirmando que o esquema de phishing atingiu mais do que um único mantenedor.
Resposta à violação no NPM e análise técnica
A equipe do NPM agiu rapidamente assim que a violação foi detectada, tomando providências para remover as versões maliciosas enviadas pelos atacantes. Entre os pacotes removidos estava uma versão do pacote debug, que é baixado centenas de milhões de vezes toda semana — estimado em cerca de 357 milhões.
Análises adicionais foram conduzidas pela Aikido Security, e a investigação revelou o seguinte:
- Atacantes inseriram código malicioso nos arquivos index.js dos pacotes sequestrados. Isso funcionava como um interceptador no navegador, sequestrando o tráfego e indo atrás dos usuários de criptomoedas.
- O malware se inseria nos navegadores e conectava-se em funções como fetch, XMLHttpRequest, e APIs de carteiras como window.ethereum e Solana, dando acesso às atividades web e da carteira.
- Uma vez ativo, ele vasculhava dados para endereços de carteiras nas redes Ethereum, Bitcoin, Solana, Tron, Litecoin e Bitcoin Cash. Endereços detectados eram trocados por endereços controlados pelos atacantes, geralmente feitos para parecer similares.
- Alterava detalhes da transação antes da assinatura, mudando destinatários, aprovações ou permissões enquanto a interface aparentava normalidade, enviando fundos para os atacantes.
- Para permanecer oculto, evitava alterações visíveis quando havia uma carteira presente, rodando silenciosamente em segundo plano e manipulando transações reais.
Apelo por precauções mais rigorosas
Em comentários à CoinDesk, Guillemet advertiu que aplicativos descentralizados ou carteiras de software incluindo os pacotes comprometidos podem não ser seguros, deixando usuários de criptomoedas em risco de perder fundos. Ele enfatizou que a proteção mais confiável é uma carteira física com tela segura que suporta Clear Signing.
Essa abordagem permite aos usuários verificar o endereço e detalhes de cada transação diretamente na tela do dispositivo, garantindo que o que aprovam corresponde à sua intenção.
Ele acrescentou que a situação serve como um forte lembrete das práticas essenciais: “sempre verifique suas transações, nunca assine às cegas.” Ele também recomendou o uso de uma carteira física com tela segura para ajudar a garantir a segurança.
Maximize sua experiência na Cointribune com nosso programa "Read to Earn"! Para cada artigo que você lê, ganhe pontos e acesse recompensas exclusivas. Inscreva-se agora e comece a acumular vantagens.
Ifeoluwa specializes in Web3 writing and marketing, with over 5 years of experience creating insightful and strategic content. Beyond this, he trades crypto and is skilled at conducting technical, fundamental, and on-chain analyses.
As opiniões e declarações expressas neste artigo são de responsabilidade exclusiva do autor e não devem ser consideradas como recomendações de investimento. Faça sua própria pesquisa antes de tomar qualquer decisão de investimento.