O Chief Technology Officer da Ledger, Charles Guillemet, acionou um alarme sobre o que descreveu como um dos ataques à cadeia de suprimentos mais sérios já registrados no ecossistema JavaScript.
Problemas com Ledger emitem aviso urgente
Na segunda-feira, o CTO da Ledger, Guillemet, publicou no X que a conta npm de um mantenedor de código aberto respeitável tinha sido comprometida, levando a atualizações maliciosas em bibliotecas de software amplamente utilizadas.
Ele escreveu,
“Está a decorrer um ataque em grande escala à cadeia de fornecimento... todo o ecossistema JavaScript pode estar em risco.”
Ele destacou que os utilizadores de carteiras de hardware permanecem seguros se verificarem cada transação, mas aconselhou todos os outros a parar temporariamente de realizar transações em blockchain.
Atualizações Maliciosas em Pacotes Amplamente Utilizados
A violação ocorreu a 8 de setembro, quando hackers obtiveram acesso à conta npm de Josh Goldberg, conhecido como "Qix". Os atacantes publicaram versões corrompidas de 18 pacotes, incluindo chalk, debug, strip-ansi e color-convert, que em conjunto representam mais de 2,6 mil milhões de downloads semanais e estão incorporados em ferramentas principais de desenvolvimento como Babel e ESLint.
Os pesquisadores descobriram que o código injetado carregava malware "crypto-clipper" projetado para interceptar funções do navegador. O payload troca endereços de carteira legítimos por aqueles controlados pelo atacante e, em alguns casos, sequestra as comunicações da carteira para modificar transações antes que as assinaturas sejam aplicadas. O malware foi detectado pela primeira vez após um erro de compilação revelar código ofuscado oculto.
Estratégia de Ataque Sofisticada
A análise mostrou que o malware foi engenheirado com táticas duplas: substituir passivamente endereços de carteira por semelhantes, enquanto interceptava e alterava ativamente transações em carteiras baseadas em navegador, como a MetaMask. Esta abordagem em camadas permitiu que os atacantes redirecionassem fundos de forma fluida, muitas vezes sem que os usuários percebessem.
Investigações sugerem que a violação teve origem em um ataque de phishing aos mantenedores do npm. E-mails fraudulentos, fazendo-se passar por notificações de segurança oficiais do npm, instruíram os destinatários a atualizar a autenticação de dois fatores ou arriscar a suspensão da conta. As vítimas que seguiram o link foram direcionadas a uma página de login falsa, permitindo que os atacantes capturassem credenciais e infiltrassem a conta de Goldberg.
Uma vez dentro, os atacantes distribuíram versões maliciosas dos pacotes principais, efetivamente transformando ferramentas de software em armas utilizadas por milhões. A empresa de segurança Aikido observou que o código funcionava como um interceptador de navegador, capaz de reescrever destinos de pagamento, alterar chamadas de API e manipular o conteúdo do site.
Consequências em Andamento e Preocupações da Indústria
Embora o npm tenha removido muitas das versões comprometidas, os especialistas em segurança alertam que as dependências transitivas ocultas tornam difícil conter completamente o ataque. Os desenvolvedores estão sendo incentivados a auditar projetos, fixar versões de pacotes conhecidas como seguras e reconstruir arquivos de bloqueio imediatamente.
O incidente sublinha a fragilidade do ecossistema de código aberto, que depende fortemente da confiança entre mantenedores e desenvolvedores. Com endereços de carteira ligados a fundos roubados já surgindo na cadeia, os pesquisadores estão chamando o ataque de um dos mais severos na história do ecossistema JavaScript.
Declaração de isenção de responsabilidade: Este artigo é fornecido apenas para fins informativos. Não é oferecido nem destinado a ser utilizado como aconselhamento legal, fiscal, de investimento, financeiro ou de outro tipo.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Aviso Global de Cripto: Ledger Sinaliza Grande Quebra na Cadeia de Fornecimento de JavaScript
O Chief Technology Officer da Ledger, Charles Guillemet, acionou um alarme sobre o que descreveu como um dos ataques à cadeia de suprimentos mais sérios já registrados no ecossistema JavaScript.
Problemas com Ledger emitem aviso urgente
Na segunda-feira, o CTO da Ledger, Guillemet, publicou no X que a conta npm de um mantenedor de código aberto respeitável tinha sido comprometida, levando a atualizações maliciosas em bibliotecas de software amplamente utilizadas.
Ele escreveu,
“Está a decorrer um ataque em grande escala à cadeia de fornecimento... todo o ecossistema JavaScript pode estar em risco.”
Ele destacou que os utilizadores de carteiras de hardware permanecem seguros se verificarem cada transação, mas aconselhou todos os outros a parar temporariamente de realizar transações em blockchain.
Atualizações Maliciosas em Pacotes Amplamente Utilizados
A violação ocorreu a 8 de setembro, quando hackers obtiveram acesso à conta npm de Josh Goldberg, conhecido como "Qix". Os atacantes publicaram versões corrompidas de 18 pacotes, incluindo chalk, debug, strip-ansi e color-convert, que em conjunto representam mais de 2,6 mil milhões de downloads semanais e estão incorporados em ferramentas principais de desenvolvimento como Babel e ESLint.
Os pesquisadores descobriram que o código injetado carregava malware "crypto-clipper" projetado para interceptar funções do navegador. O payload troca endereços de carteira legítimos por aqueles controlados pelo atacante e, em alguns casos, sequestra as comunicações da carteira para modificar transações antes que as assinaturas sejam aplicadas. O malware foi detectado pela primeira vez após um erro de compilação revelar código ofuscado oculto.
Estratégia de Ataque Sofisticada
A análise mostrou que o malware foi engenheirado com táticas duplas: substituir passivamente endereços de carteira por semelhantes, enquanto interceptava e alterava ativamente transações em carteiras baseadas em navegador, como a MetaMask. Esta abordagem em camadas permitiu que os atacantes redirecionassem fundos de forma fluida, muitas vezes sem que os usuários percebessem.
Investigações sugerem que a violação teve origem em um ataque de phishing aos mantenedores do npm. E-mails fraudulentos, fazendo-se passar por notificações de segurança oficiais do npm, instruíram os destinatários a atualizar a autenticação de dois fatores ou arriscar a suspensão da conta. As vítimas que seguiram o link foram direcionadas a uma página de login falsa, permitindo que os atacantes capturassem credenciais e infiltrassem a conta de Goldberg.
Uma vez dentro, os atacantes distribuíram versões maliciosas dos pacotes principais, efetivamente transformando ferramentas de software em armas utilizadas por milhões. A empresa de segurança Aikido observou que o código funcionava como um interceptador de navegador, capaz de reescrever destinos de pagamento, alterar chamadas de API e manipular o conteúdo do site.
Consequências em Andamento e Preocupações da Indústria
Embora o npm tenha removido muitas das versões comprometidas, os especialistas em segurança alertam que as dependências transitivas ocultas tornam difícil conter completamente o ataque. Os desenvolvedores estão sendo incentivados a auditar projetos, fixar versões de pacotes conhecidas como seguras e reconstruir arquivos de bloqueio imediatamente.
O incidente sublinha a fragilidade do ecossistema de código aberto, que depende fortemente da confiança entre mantenedores e desenvolvedores. Com endereços de carteira ligados a fundos roubados já surgindo na cadeia, os pesquisadores estão chamando o ataque de um dos mais severos na história do ecossistema JavaScript.
Declaração de isenção de responsabilidade: Este artigo é fornecido apenas para fins informativos. Não é oferecido nem destinado a ser utilizado como aconselhamento legal, fiscal, de investimento, financeiro ou de outro tipo.