Maior ataque à cadeia de suprimentos do npm mira carteiras cripto… e rende só $50
Atores maliciosos estão em ação novamente, desta vez mirando na conta do Gerenciador de Pacotes Node (NPM) de um conhecido desenvolvedor de software. Investigações revelaram que os hackers adicionaram malware a bibliotecas populares de JavaScript, atacando principalmente carteiras cripto. Contudo, após lançar o que investigadores do setor descrevem como o maior ataque à cadeia de suprimentos na história da cripto, os hackers conseguiram roubar apenas $50 em ativos cripto.
Em resumo
- Hackers comprometeram pacotes populares do NPM com mais de 1 bilhão de downloads, injetando malware que ameaçava grandes carteiras cripto.
- Atacantes usaram um crypto-clipper para trocar endereços de carteiras, mirando em transações de Ethereum e Solana.
- Apesar do amplo acesso, hackers roubaram apenas $50 em ETH e memecoins antes que o malware fosse contido.
- Plataformas cripto alertam usuários para cautela, avisando que projetos que atualizarem pacotes comprometidos podem enfrentar riscos.
Malware em pacotes npm coloca carteiras cripto em risco, mirando ethereum e solana
Segundo os detalhes compartilhados pela plataforma de inteligência blockchain Security Alliance na segunda-feira, código malicioso enviado pelos atacantes adicionou malware a bibliotecas populares de JavaScript com mais de 1 bilhão de downloads, expondo vários projetos cripto ao risco. A empresa de inteligência cripto acrescentou que o hacker visou principalmente carteiras Ethereum e Solana.
Para contextualizar, NPMs funcionam como bibliotecas centrais ou lojas de aplicativos onde desenvolvedores podem baixar e compartilhar pequenos pacotes para criar projetos JavaScript. Relatórios indicam que os hackers parecem ter acoplado um crypto-clipper, um tipo de código malicioso que troca silenciosamente endereços de carteiras durante transações para desviar fundos.
Até o momento, os cibercriminosos conseguiram mover apenas $50 para uma carteira Ethereum maliciosa. A Security Alliance identificou o endereço da carteira, rotulado como “0xFc4a48”, que eles acreditam ser a única carteira comprometida.
Violação generalizada de malware no npm é contida após exploração limitada
Comentando sobre a violação, o pesquisador de segurança pseudônimo SEAL Samczsun explicou que o hacker teve acesso significativo, mas não conseguiu explorá-lo totalmente. Ele acrescentou que, embora o malware fosse disseminado, agora foi amplamente contido.
O hacker não capitalizou totalmente a quantidade de acesso que tinha. É como encontrar o cartão-chave do Fort Knox e usá-lo como marcador de página. O malware era disseminado, mas neste ponto está quase completamente neutralizado.
Samczsun
No entanto, o valor atual de $50 subiu a partir de alguns centavos algumas horas antes, sugerindo que outros eventos relacionados ao hack ainda podem surgir.
A Security Alliance informou que foram roubados cinco centavos em Ethereum (ETH) e cerca de $20 em memecoins. De acordo com dados do Etherscan, o hacker movimentou até agora Brett (BRETT), Andy (ANDY), Dork Lord (DORK), Ethervista (VISTA) e Gondola (GONDOLA).
O malware do hacker atacou pacotes como chalk, strip-ansi e color-convert — pequenas utilidades encontradas profundamente nas árvores de dependências que foram baixadas mais de 2 bilhões de vezes. De fato, a empresa de segurança observou que até criadores que nunca instalaram o programa diretamente podem estar em risco.
Plataformas cripto pedem cautela após ataque à cadeia de suprimentos expor riscos de segurança
O diretor de tecnologia da Ledger, Charles Guillemet, pediu cautela aos participantes do mercado ao confirmar transações on-chain. Prestadores de serviços de carteiras cripto, Ledger e MetaMask, afirmaram que suas plataformas permanecem seguras contra a violação, destacando que suas carteiras possuem “múltiplas camadas de defesa” para se proteger contra tais ataques.
Outras plataformas cripto, incluindo Phantom, Uniswap, Aerodrome e Blast, afirmaram que não foram afetadas pelo ataque à cadeia de suprimentos. No entanto, o fundador da plataforma de análise cripto DefiLlama, com o pseudônimo 0xngmi, detalhou que projetos que atualizaram após a publicação do pacote NPM comprometido por código malicioso podem estar expostos a riscos significativos.
Ainda assim, ele esclareceu que os usuários precisam aprovar a transação maliciosa antes que ela possa ser concluída. Contudo, DefiLlama aconselhou os usuários a evitarem usar sites de cripto até que o malware seja totalmente removido.
Com o crescimento dos ativos digitais, ataques a cripto tornaram-se comuns nos últimos anos. A plataforma cripto SwissBorg sofreu recentemente uma violação massiva, com os hackers movimentando cerca de 193.000 SOL, avaliados em $41 milhões.
Maximize sua experiência na Cointribune com nosso programa "Read to Earn"! Para cada artigo que você lê, ganhe pontos e acesse recompensas exclusivas. Inscreva-se agora e comece a acumular vantagens.
James Godstime is a crypto journalist and market analyst with over three years of experience in crypto, Web3, and finance. He simplifies complex and technical ideas to engage readers. Outside of work, he enjoys football and tennis, which he follows passionately.
As opiniões e declarações expressas neste artigo são de responsabilidade exclusiva do autor e não devem ser consideradas como recomendações de investimento. Faça sua própria pesquisa antes de tomar qualquer decisão de investimento.