Hackers usaram sites falsos para roubar uma conta npm confiável e espalhar código prejudicial por pacotes populares.
As carteiras de criptomoedas como MetaMask e Trust Wallet podem estar em risco se usarem as bibliotecas JavaScript infectadas.
Os utilizadores devem parar de assinar transações e verificar todos os pacotes se as suas aplicações foram recentemente atualizadas via npm.
Um ataque significativo à cadeia de suprimentos comprometeu uma conta npm JavaScript amplamente confiável. Pesquisadores confirmaram que o código malicioso já infectou 18 pacotes populares. Esses pacotes foram baixados mais de 2 bilhões de vezes apenas na última semana. Os pacotes afetados contêm código capaz de trocar silenciosamente endereços de carteiras de criptomoedas.
Este ataque é projetado para desviar transações sem o conhecimento do usuário. Mesmo que os usuários assinem a transação que parece correta, os fundos ainda podem ir para o atacante. O ecossistema JavaScript está em risco devido à profundidade da integração desses pacotes. Os desenvolvedores são instados a auditar e remover imediatamente as dependências afetadas.
Carteiras de Cripto e Ecossistemas em Risco
O ataque afeta muitas carteiras conhecidas baseadas em navegador e de desktop. Como: MetaMask, Trust Wallet e Exodus. As carteiras de hardware permanecem mais seguras, no entanto, os usuários ainda devem verificar os detalhes da transação com atenção. O atacante usa endereços de carteira semelhantes para enganar os usuários durante o processo de assinatura.
Apenas uma verificação detalhada, caractere por caractere, pode detectar a diferença. A maioria dos usuários verifica apenas os primeiros e os últimos caracteres dos endereços de carteira. Isso os deixa vulneráveis a táticas de troca de endereços. Scripts automatizados e contratos inteligentes também estão em risco se dependerem das bibliotecas comprometidas.
O ponto de entrada foi uma conta de desenvolvedor comprometida.
A violação começou quando os atacantes ganharam controle da conta de um mantenedor confiável do npm. Os pesquisadores acreditam que isso foi feito usando phishing e falsos avisos de autenticação de dois fatores.
Recentemente, investigadores de cibersegurança notaram que hackers esconderam malware em contratos inteligentes Ethereum através de pacotes NPM, utilizando URLs de blockchain para contornar varreduras e entregar cargas úteis de segunda fase. Os atacantes criaram repositórios falsos no GitHub com commits fabricados e várias contas para aumentar a credibilidade. Utilizadores do GitHub relataram e-mails suspeitos que se faziam passar por suporte do npm.
O atacante usou um domínio que imitava o verdadeiro site npm. Esses emails ameaçavam bloquear contas para forçar os desenvolvedores a clicar em links de phishing. Uma vez comprometida, a conta foi usada para atualizar múltiplos pacotes com cargas maliciosas. Alguns pacotes foram corrigidos mais tarde, mas outros permanecem inseguros.
Avisos de Segurança e Resposta do Desenvolvedor
As equipas de segurança e investigadores estão a alertar os utilizadores para evitarem a atividade em cadeia por agora. Os utilizadores de criptomoedas devem desativar as carteiras de navegador e parar de assinar transações temporariamente. Não foram reportadas grandes perdas até agora, mas os riscos permanecem elevados.
Algumas plataformas DeFi, incluindo Axiom e Kamino, confirmaram que não usaram os pacotes infectados. No entanto, os desenvolvedores devem verificar todas as dependências, especialmente aquelas ligadas a bibliotecas populares como Chalk. Esse tipo de vulnerabilidade também foi notado em 2024, quando hackers exploraram o Lottie Player Java Script, comprometendo carteiras em sites DeFi confiáveis como 1inch.
A equipe npm desativou versões comprometidas conhecidas, mas atualizações recentes podem ainda apresentar riscos. A extensão total do ataque permanece desconhecida. A ameaça pode se expandir se mais contas de desenvolvedores forem alvos de táticas de phishing semelhantes.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Conta NPM Confiável Sequestrada para Espalhar Código Malicioso que Coloca Transações e Carteiras Cripto A...
Hackers usaram sites falsos para roubar uma conta npm confiável e espalhar código prejudicial por pacotes populares.
As carteiras de criptomoedas como MetaMask e Trust Wallet podem estar em risco se usarem as bibliotecas JavaScript infectadas.
Os utilizadores devem parar de assinar transações e verificar todos os pacotes se as suas aplicações foram recentemente atualizadas via npm.
Um ataque significativo à cadeia de suprimentos comprometeu uma conta npm JavaScript amplamente confiável. Pesquisadores confirmaram que o código malicioso já infectou 18 pacotes populares. Esses pacotes foram baixados mais de 2 bilhões de vezes apenas na última semana. Os pacotes afetados contêm código capaz de trocar silenciosamente endereços de carteiras de criptomoedas.
Este ataque é projetado para desviar transações sem o conhecimento do usuário. Mesmo que os usuários assinem a transação que parece correta, os fundos ainda podem ir para o atacante. O ecossistema JavaScript está em risco devido à profundidade da integração desses pacotes. Os desenvolvedores são instados a auditar e remover imediatamente as dependências afetadas.
Carteiras de Cripto e Ecossistemas em Risco
O ataque afeta muitas carteiras conhecidas baseadas em navegador e de desktop. Como: MetaMask, Trust Wallet e Exodus. As carteiras de hardware permanecem mais seguras, no entanto, os usuários ainda devem verificar os detalhes da transação com atenção. O atacante usa endereços de carteira semelhantes para enganar os usuários durante o processo de assinatura.
Apenas uma verificação detalhada, caractere por caractere, pode detectar a diferença. A maioria dos usuários verifica apenas os primeiros e os últimos caracteres dos endereços de carteira. Isso os deixa vulneráveis a táticas de troca de endereços. Scripts automatizados e contratos inteligentes também estão em risco se dependerem das bibliotecas comprometidas.
O ponto de entrada foi uma conta de desenvolvedor comprometida.
A violação começou quando os atacantes ganharam controle da conta de um mantenedor confiável do npm. Os pesquisadores acreditam que isso foi feito usando phishing e falsos avisos de autenticação de dois fatores.
Recentemente, investigadores de cibersegurança notaram que hackers esconderam malware em contratos inteligentes Ethereum através de pacotes NPM, utilizando URLs de blockchain para contornar varreduras e entregar cargas úteis de segunda fase. Os atacantes criaram repositórios falsos no GitHub com commits fabricados e várias contas para aumentar a credibilidade. Utilizadores do GitHub relataram e-mails suspeitos que se faziam passar por suporte do npm.
O atacante usou um domínio que imitava o verdadeiro site npm. Esses emails ameaçavam bloquear contas para forçar os desenvolvedores a clicar em links de phishing. Uma vez comprometida, a conta foi usada para atualizar múltiplos pacotes com cargas maliciosas. Alguns pacotes foram corrigidos mais tarde, mas outros permanecem inseguros.
Avisos de Segurança e Resposta do Desenvolvedor
As equipas de segurança e investigadores estão a alertar os utilizadores para evitarem a atividade em cadeia por agora. Os utilizadores de criptomoedas devem desativar as carteiras de navegador e parar de assinar transações temporariamente. Não foram reportadas grandes perdas até agora, mas os riscos permanecem elevados.
Algumas plataformas DeFi, incluindo Axiom e Kamino, confirmaram que não usaram os pacotes infectados. No entanto, os desenvolvedores devem verificar todas as dependências, especialmente aquelas ligadas a bibliotecas populares como Chalk. Esse tipo de vulnerabilidade também foi notado em 2024, quando hackers exploraram o Lottie Player Java Script, comprometendo carteiras em sites DeFi confiáveis como 1inch.
A equipe npm desativou versões comprometidas conhecidas, mas atualizações recentes podem ainda apresentar riscos. A extensão total do ataque permanece desconhecida. A ameaça pode se expandir se mais contas de desenvolvedores forem alvos de táticas de phishing semelhantes.