Ataque a pacotes com 2 bilhões de downloads semanais abala ecossistema npm
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
A empresa de cibersegurança Aikido Security detectou o possível maior ataque a pacotes npm já registrado, com 18 deles, como chalk, debug e ansi-styles, sendo hackeados para o roubo de carteiras de criptomoeda através de código injetado. Isso foi feito através da invasão de um mantenedor confiável, conhecido como qix, por um e-mail de phishing.
- Hackers usam IA do Google e Amazon para roubar credenciais do pacote npm "nx"
- Desenvolvedor sabota os próprios projetos e trava milhares de apps em protesto
Os pacotes, juntos, representam mais de 2 bilhões de downloads semanais, afetando um número enorme de usuários. A detecção, segundo o pesquisador Charlie Eriksen, da Aikido, foi rápida, dentro de cinco minutos após a invasão, e foi contida no espaço de uma hora, limitando os possíveis danos.
Ataques em carteiras de criptomoeda
O aspecto diferenciado do ataque, segundo os especialistas, foi o alvo: ao invés de mirar em ambientes de desenvolvimento ou servidores, os cibercriminosos buscaram interferir em transações de criptomoedas feitas por navegador. O malware interfere com APIs de carteira como MetaMask e Phantom, mudando os dados da transação antes do usuário assiná-la. A mensagem mostra o destinatário correto, mas os fundos são redirecionados para um endereço controlado pelos hackers.
A lista de pacotes afetados é longa, mas os mais usados incluem chalk (com 300 milhões de downloads semanais), debug (358 milhões) e ansi-styles (371 milhões). Outros projetos incluem ferramentas mais simples como is-arrayish a bibliotecas de formatação como strip-ansi. O mantenedor responsável pelo qix relatou, nas redes sociais, ter sido vítima do ataque, se desculpando por ter caído no golpe de phishing.
O código malicioso é altamente intrusivo, modificando funções como fetch, XMLHttpRequest e métodos de API de carteiras. Ele é capaz de mudar o conteúdo de transações, aprovações e até mesmo o fluxo de assinatura do Solana, redirecionando fundos sem o conhecimento do usuário.
Um desenvolvedor que tenha sido infectado pode, na prática, estar expondo os usuários que usam seu serviço ao roubo de carteiras ao interagir com aplicativos Web3, baseados em navegador. Aos desenvolvedores, recomenda-se voltar os aplicativos para versões anteriores, ainda seguras, e auditar quaisquer atualizações de pacote recentes. Também vale monitorar as transações de perto, caso o aplicativo interaja com carteiras de criptomoeda.
Confira também:
- Bandidos usam clones de projetos no GitHub para espalhar vírus
- Nova técnica hacker rouba senha da Microsoft através de publicidade falsa
- Phishing com IA: como se proteger dos golpes digitais mais sofisticados
VÍDEO | PORQUÊ O BITCOIN PARECE PIRÂMIDE E OUTROS GOLPES? #Shorts
Fonte: Aikido Security