O diretor de tecnologia da Ledger, Charles Guillemet, afirmou nesta terça-feira (9) que um ataque focado em criptomoedas observado à cadeia de suprimentos no ecossistema do Node Package Manager (NPM) “felizmente falhou”, com “quase nenhuma vítima”, após uma campanha de phishing permitir que invasores publicassem atualizações maliciosas em pacotes JavaScript populares antes que o comprometimento fosse detectado e bloqueado.
De acordo com o executivo, o incidente começou com e-mails de um domínio de suporte NPM falsificado que coletava credenciais de desenvolvedores. Isso permitiu que hackers enviassem versões de pacotes contaminadas que interceptam a atividade de criptomoedas na Ethereum, Solana e outras redes, trocando endereços de destino dentro das respostas da rede.
Ele acrescentou que erros de implementação causaram falhas nos pipelines de CI/CD, desencadeando uma descoberta rápida e limitando o tamanho do impacto. “O perigo imediato pode ter passado, mas a ameaça não”, escreveu o CTO da Ledger no X, incentivando os usuários a priorizarem carteiras de hardware e proteções de assinatura clara.
Os invasores arrecadaram apenas cerca de US$ 503 em criptomoedas, de acordo com a empresa de análise on-chain Arkham, que afirmou que os fundos foram para endereços citados por Guillemet em seu alerta inicial.
O que aconteceu
Na segunda-feira, um alerta de Guillemet pediu que desenvolvedores e usuários suspendessem a atividade onchain em meio a um grande evento da cadeia de suprimentos do NPM, que teve como alvo projetos web3.
O NPM é um importante gerenciador de pacotes para JavaScript, e Guillemet afirmou que todo o ecossistema da linguagem de programação poderia estar vulnerável após o comprometimento da conta de um desenvolvedor respeitável, potencialmente espalhando um payload malicioso para vários sites.
“O payload malicioso funciona trocando silenciosamente endereços de criptomoedas em tempo real para roubar fundos”, disse ele, acrescentando que os pacotes comprometidos foram baixados mais de 1 bilhão de vezes. Guillemet acrescentou que fundos em “potencialmente todas as cadeias” poderiam estar vulneráveis ao exploit.
“Eu recomendo fortemente não assinar nenhuma transação com criptomoedas agora”, alertou o desenvolvedor de software Cygaar na segunda, observando que “vários sites de criptomoedas” poderiam estar vulneráveis.
A empresa de segurança blockchain Blockaid afirmou no X que o comprometimento afetou cerca de duas dúzias de pacotes populares, como “color-name” e “color-string”. O NPM hospeda pacotes de código reutilizável que os usuários podem integrar em seus projetos, escritos por terceiros.
“Ele altera o endereço de destino das transações e aprovações para os endereços do invasor, em vez do endereço com o qual você está realmente tentando interagir”, explicou Cygaar.
Apesar do NPM desabilitar os pacotes comprometidos, Cygaar incentivou os desenvolvedores a ainda verificarem suas dependências, observando que eles poderiam ter baixado um pacote comprometido antes da alteração ser feita.
A situação destaca como a indústria de criptomoedas, de certa forma, ainda é vulnerável a dependências do mundo Web2 e de outras formas de software de código aberto, disse a cofundadora e diretora de operações da Loopscale, Mary Gooneratne, ao Decrypt.
Os pacotes comprometidos ficaram ativos por apenas algumas horas, mas “[ainda] é bastante assustador”, disse ela, observando que existem medidas para impedir que os pacotes do NPM sejam atualizados automaticamente.
“É uma boa lição para o ecossistema”, disse ela. “Acho que esta foi uma boa oportunidade para todos garantirem que tudo esteja limpo.”
Gooneratne afirmou que o Loopscale, um protocolo de empréstimo da Solana, não foi comprometido. E a carteira autocustodial Phantom estava entre outros projetos na segunda-feira que afirmaram não ter sido afetada pelo ataque à cadeia de suprimentos.
No MB, a sua indicação vale Bitcoin para você e seus amigos. Para cada amigo que abrir uma conta e investir, vocês ganham recompensas exclusivas. Saiba mais!