Ataque extensivo ao JavaScript NPM espalha malware autorreplicante por todo o ecossistema cripto

Uma ampla compromissão na cadeia de abastecimento JavaScript infiltrou-se em mais de 400 pacotes de software em várias indústrias, com investigadores de cibersegurança a alertar para uma exposição profunda na infraestrutura relacionada com criptomoedas. As descobertas da Aikido Security revelam um padrão preocupante: o ator de ameaça implantou o Shai Hulud, um malware sofisticado de autorreplicação projetado para se propagar autonomamente através de ambientes de desenvolvimento e extrair credenciais sensíveis.

Alcance do Ataque e Mecanismo Técnico

O malware funciona de forma diferente de incidentes anteriores na cadeia de abastecimento NPM. Em vez de visar diretamente ativos digitais, este malware de autorreplicação funciona como um coletor de credenciais, roubando sistematicamente chaves de carteiras, tokens de API e segredos de autenticação de sistemas de desenvolvimento infectados. Cada deteção foi validada para eliminar falsos positivos, de acordo com a divulgação do investigador Charlie Eriksen nas redes sociais.

A escala continua a ser alarmante. A empresa de cibersegurança Wiz identificou aproximadamente 25.000 repositórios comprometidos pertencentes a cerca de 350 utilizadores distintos, com novas infecções a ocorrerem a uma taxa de 1.000 novos repositórios a cada meia hora. Esta propagação autónoma distingue a ameaça atual de um incidente anterior em setembro, onde os atacantes extraíram manualmente $50 milhões em criptomoedas antes de seguir em frente.

Infraestrutura de Criptomoedas Sob Cerco

Pelo menos dez pacotes que servem a indústria de blockchain foram vítimas, predominantemente ligados à infraestrutura do Ethereum Name Service (ENS). O ecossistema afetado inclui bibliotecas amplamente distribuídas, tais como:

• content-hash: aproximadamente 36.000 downloads semanais
• address-encoder: mais de 37.500 downloads semanais
• ensjs, ens-validation, ethereum-ens, ens-contracts: todos comprometidos

Para além das ferramentas específicas do ENS, o ataque atingiu o crypto-addr-codec, uma utilidade de criptografia independente que alcança quase 35.000 downloads por semana. Estes pacotes servem como dependências fundamentais para centenas de projetos downstream, aumentando a exposição ao risco em toda a comunidade de desenvolvimento.

Avaliação do Impacto Geral

A compromissão vai além das aplicações de criptomoedas. Vítimas notáveis incluem plataformas de automação empresarial como a Zapier, com certos pacotes afetados a receberem mais de 40.000 downloads semanais. Algumas bibliotecas comprometidas reportam 1,5 milhões de downloads semanais, sugerindo uma potencial exposição que afeta milhares de aplicações finais.

Eriksen caracterizou o alcance do incidente como “massivo”, com esforços de investigação em curso para estabelecer os parâmetros completos do impacto. A recomendação imediata dos investigadores de segurança é realizar auditorias abrangentes a qualquer ambiente de desenvolvimento que utilize a infraestrutura npm, juntamente com uma rotação urgente de credenciais e procedimentos de remediação da cadeia de abastecimento.