Ataque à Cadeia de Fornecimento NPM: Grande Bolsa Escapa por um Triz, Mas Utilizadores de Cripto Permanecem em Risco

A maior exchange de criptomoedas do mundo em volume de negociação tranquilizou seus clientes na terça-feira, afirmando que seus dados e ativos permaneceram seguros durante o que está sendo chamado de um dos ataques à cadeia de suprimentos mais significativos já ocorridos no ecossistema JavaScript.

De acordo com uma declaração publicada nas redes sociais, o exchange confirmou que não houve danos na sua base de dados durante uma violação que visava pacotes Node.js amplamente utilizados, envolvidos em mais de 2 mil milhões de downloads de aplicações por semana.

“Estamos cientes do recente ataque à cadeia de suprimentos que publicou versões maliciosas de vários pacotes JavaScript amplamente utilizados”, escreveu a empresa. “Após investigação, confirmamos que não fomos afetados e nenhum dado ou ativo de clientes está em risco. A segurança continua a ser a nossa principal prioridade, esta violação lembra-nos quão crítica é a segurança da cadeia de suprimentos. Mantenham-se SAFU.”

Uma figura proeminente no espaço cripto comentou na plataforma social: “Até o software de código aberto não está seguro nos dias de hoje. O Web3 vai redefinir a segurança para o Web2. Ainda estamos no início.”

Ataque de Pacote JavaScript Assusta a Comunidade Cripto

O ataque, descrito por pesquisadores de segurança como um dos maiores na história do NPM, ocorreu no dia 8 de setembro. Hackers comprometeram a conta do confiável mantenedor de código aberto “qix” (Josh Junon) através de um sofisticado e-mail de phishing que se passava por comunicações oficiais do npmjs.

Eu acho perturbador como os atacantes manipularam facilmente Junon com um falso aviso de que a sua conta seria bloqueada a 10 de setembro de 2025, a menos que ele atualizasse imediatamente as suas credenciais de autenticação de dois fatores.

“Como parte do nosso compromisso contínuo com a segurança da conta, estamos a solicitar a todos os utilizadores que atualizem as suas credenciais de Autenticação de Dois Fatores (2FA). Os nossos registos indicam que já passou mais de 12 meses desde a sua última atualização de 2FA,” afirmava o e-mail enganoso.

Junon mais tarde admitiu nas redes sociais que foi vítima de um esquema de phishing depois que outro mantenedor revelou que sua conta NPM estava “publicando pacotes com portas dos fundos,” permitindo que atacantes sequestrassem sua conta e enviassem atualizações maliciosas para 18 bibliotecas populares do Node.js, incluindo chalk, debug, ansi-styles e strip-ansi.

Transações Cripto Especificamente Alvo

A análise da Aikido Security revelou que os atacantes injetaram código que permitia a interceptação baseada em navegador nos pacotes comprometidos. O código malicioso estava oculto em arquivos index.js, onde podia monitorizar silenciosamente o tráfego de rede e as APIs de aplicação em qualquer aplicação que utilizasse os pacotes afetados.

O script observa especificamente endereços de carteira e transações envolvendo Bitcoin, Ethereum, Solana, Tron, Litecoin e Bitcoin Cash. Quando detectado, ele substitui silenciosamente o endereço de carteira de destino por um controlado pelos atacantes, redirecionando fundos sem o conhecimento da vítima.

O CTO de um fabricante de carteiras de hardware relatou que o código malicioso já havia propagado em pacotes com mais de um bilhão de downloads.

A empresa de análises de blockchain Arkham Intelligence relatou na segunda-feira à noite que apenas $159 de criptomoeda havia sido roubada até agora, rastreada até endereços identificados por pesquisadores de segurança.

No entanto, receio que este número enganosamente baixo esconda o verdadeiro potencial de danos, considerando os bilhões de downloads associados aos pacotes comprometidos. O roubo inicial lento pode simplesmente representar a calma antes de uma tempestade muito maior.