O maior ataque à cadeia de fornecimento NPM da história! Bibliotecas centrais de JS foram invadidas, e os fundos dos usuários encriptados podem ser roubados.

O ecossistema JavaScript global está enfrentando o maior ataque à cadeia de fornecimento NPM da história. Hackers invadiram a conta de um desenvolvedor conhecido do Node Package Manager (NPM), injetando código malicioso nas bibliotecas JavaScript essenciais que milhões de aplicativos dependem, com o alvo diretamente voltado para os fundos na carteira dos usuários de ativos de criptografia.

Detalhes do ataque: biblioteca central implantada com “editor de criptografia”

De acordo com vários relatórios de segurança, os pacotes afetados incluem pequenos utilitários como chalk, strip-ansi e color-convert, que estão profundamente escondidos na árvore de dependências de inúmeros projetos, com mais de 1 bilhão de downloads por semana.

Funcionalidade maliciosa: substituir silenciosamente o endereço da carteira de encriptação durante o processo de negociação (comumente conhecido como “clipper de criptografia”)

Riscos potenciais: os usuários podem transferir fundos para um endereço controlado por hackers sem estarem cientes.

O CTO da Ledger, Charles Guillemet, alertou: “Todo o ecossistema JavaScript pode estar em perigo.”

Usuários de encriptação tornaram-se alvos de alto risco

Pesquisadores de segurança apontam que os usuários que dependem de carteiras de software correm o maior risco, pois códigos maliciosos podem alterar os detalhes das transações em páginas da web ou aplicativos.

Os utilizadores de carteiras de hardware são relativamente seguros, pois cada transação deve ser confirmada em um dispositivo físico.

O fundador da DefiLlama 0xngmi alerta que códigos maliciosos não esvaziam automaticamente a Carteira, mas alteram o conteúdo da transação quando o usuário clica em “trocar” ou “confirmar”.

Devido ao fato de os usuários não conseguirem identificar facilmente quais sites foram atualizados para versões seguras, os especialistas recomendam suspender as transações em criptografia em sites cuja segurança é incerta, até que os pacotes afetados sejam totalmente limpos.

Método de ataque: E-mail de phishing para roubar a conta do mantenedor

（Fonte：Github）

Os atacantes disfarçaram-se como e-mails de phishing suportados oficialmente pelo NPM, enganando os mantenedores a atualizarem a autenticação de dois fatores em um site falso, conseguindo assim roubar as credenciais de login.

Uma vez que tenham o controle da conta, os hackers podem enviar atualizações maliciosas para pacotes que foram baixados bilhões de vezes.

O pesquisador de segurança Aikido, Charlie Eriksen, afirmou que o perigo deste ataque reside no fato de que ele pode “modificar simultaneamente o conteúdo exibido no site, chamadas de API e os dados de transação que o aplicativo do usuário acredita estar assinando.”

Por que isso é o “maior ataque à cadeia de fornecimento da história”?

Abrangência ampla: afeta milhões de aplicativos e sites

Profundidade de penetração alta: a biblioteca central está localizada na camada base da cadeia de dependência, podendo ser afetada mesmo que não esteja instalada diretamente.

Alvo forte: focado especificamente em transações de criptografia e fundos de Carteira

Isso significa que, desde os desenvolvedores front-end até os usuários finais, toda a cadeia pode se tornar um alvo de ataque.

Conclusão

Este ataque à cadeia de fornecimento NPM destaca novamente a vulnerabilidade do ecossistema de código aberto e a alta risco do mercado de criptografia. Para os desenvolvedores, é necessário verificar e reverter para versões seguras imediatamente; para os usuários de criptografia, deve-se evitar realizar transações em sites cuja segurança é incerta no curto prazo e tentar utilizar Carteiras de hardware para a gestão de ativos.