Recentemente, foi
confirmado que o maior ataque à cadeia de suprimentos (supply chain) do npm
até hoje teve como alvo carteiras de criptomoedas. Aqui está
o que sabemos até o momento:
O que aconteceu?
Na segunda-feira, 8 de
setembro de 2025, pesquisadores da Aikido Security descobriram que um
mantedor de pacotes npm — conhecido como Qix (Josh Junon) — teve sua
conta comprometida após cair em um e-mail de phishing sofisticado que
falsificava uma solicitação de redefinição de autenticação de dois fatores
(2FA) TechRadar+2CyberInsider+2. Em menos de uma hora, os
invasores publicaram versões maliciosas em 18 pacotes JavaScript
amplamente usados, incluindo nomes como chalk, debug, ansi-styles,
entre outros – somando mais de 2 bilhões de downloads semanais Quorum Cyber+3Tom's Hardware+3CyberInsider+3.
Qual era o objetivo do ataque?
As versões comprometidas
continham código malicioso projetado para capturar transações de
criptomoedas. Ele interceptava transferências, substituindo endereços de
carteira legítimos por contas controladas pelos atacantes, afetando
transações em Ethereum, Solana, Bitcoin, Tron, Litecoin e Bitcoin Cash Quorum Cyber+3TechRadar+3Tom's Hardware+3.
Esse ataque foi descrito como
o maior já registrado no ecossistema npm TechRadar+2Tom's Hardware+2.
Reação da comunidade de
segurança e recomendações
O diretor de tecnologia
(CTO) da Ledger também alertou sobre o incidente nas redes, mencionando que
os pacotes afetados acumulavam mais de 1 bilhão de downloads, e
recomendou cuidado especial com carteiras de software. Ele aconselhou os
usuários de hardware wallets a verificarem cada transação
cuidadosamente, e sugeriu aos usuários de carteiras de software que
evitassem transações on-chain temporariamente Crypto Briefing+1.
Resumo rápido
|
Detalhe |
Informação |
|
Data do incidente |
8 de setembro de 2025 |
|
Vetor de ataque |
Phishing direcionado ao
maintainer com pedido falso de 2FA |
|
Pacotes afetados |
18 pacotes populares com ~2
bilhões de downloads semanais |
|
Impacto |
Interceptação de transações
em múltiplas criptomoedas |
|
Magnitude |
O maior ataque de cadeia de
suprimentos já visto no npm |
|
Recomendações |
Verificar transações em
hardware wallets; evitar transações on-chain em software wallets |
🚨 Aqui está a lista dos principais
pacotes npm comprometidos nesse ataque, de acordo com os relatórios de
segurança:
📦 Pacotes afetados
- chalk
- debug
- ansi-styles
- strip-ansi
- supports-color
- has-flag
- ms
- escape-string-regexp
- wrap-ansi
- slice-ansi
- color-convert
- color-name
- color
- color-string
- is-fullwidth-code-point
- string-width
- signal-exit
- restore-cursor
Esses pacotes, somados,
ultrapassam 2 bilhões de downloads semanais, o que mostra o impacto
gigantesco do ataque.
🔒 Como se proteger
- Verifique se você ou seu projeto usaram
versões recentes (após 8 de setembro de 2025)
desses pacotes.
- Atualize imediatamente
para versões corrigidas — os mantenedores já removeram os releases
maliciosos.
- Se você trabalha com criptomoedas,
use hardware wallets sempre que possível.
- Revise suas transações recentes:
se notar que o endereço do destino foi alterado sem sua ação, é sinal de
comprometimento.
- Ative 2FA por app de autenticação (não
SMS) no npm e em outros serviços.
0 Comentários