O maior ataque à cadeia de suprimentos da história mira usuários de criptomoedas por meio de pacotes JavaScript comprometidos

Um novo ciberataque está silenciosamente mirando criptomoedas de usuários durante transações, em meio a um incidente que pesquisadores de segurança descrevem como o maior ataque à cadeia de suprimentos da história.

O BleepingComputer relatou que hackers comprometeram contas de mantenedores de pacotes NPM por meio de e-mails de phishing e injetaram malware que rouba criptomoedas.

O ataque teve como alvo desenvolvedores JavaScript com e-mails fraudulentos que pareciam originar-se de “support@npmjs.help”, um domínio falsificado que imita o registro legítimo do NPM.

As mensagens de phishing alertavam os mantenedores de que suas contas seriam bloqueadas em 10 de setembro, a menos que atualizassem suas credenciais de autenticação de dois fatores através de um link malicioso.

Os atacantes conseguiram comprometer 18 pacotes JavaScript amplamente utilizados, com downloads semanais coletivos que excedem 2.6 bilhões.

As bibliotecas comprometidas incluem ferramentas fundamentais de desenvolvimento como “chalk” (300 milhões de downloads semanais), “debug” (358 milhões) e “ansi-styles” (371 milhões), afetando praticamente todo o ecossistema JavaScript.

Mirando criptomoedas

O código malicioso opera como um interceptador baseado em navegador, monitorando o tráfego de rede para transações de criptomoedas nas redes Ethereum, Bitcoin, Solana, Tron, Litecoin e Bitcoin Cash.

Quando os usuários iniciam transferências de criptomoedas, o malware silenciosamente substitui os endereços de carteira de destino por contas controladas pelos atacantes antes da assinatura da transação.

O pesquisador de segurança da Aikido Security, Charlie Eriksen, explicou:

“O que o torna perigoso é que ele opera em múltiplas camadas: alterando o conteúdo exibido em sites, adulterando chamadas de API e manipulando o que os aplicativos dos usuários acreditam estar assinando.”

O CTO da Ledger, Charles Guillemet, alertou os usuários de criptomoedas sobre a ameaça em andamento, observando que o ecossistema JavaScript pode estar comprometido, dado o enorme número de downloads.

Usuários de carteiras de hardware mantêm proteção se verificarem os detalhes da transação antes de assinar, enquanto usuários de carteiras de software enfrentam um risco maior. Guillemet aconselhou:

“Se você não usa uma carteira de hardware, evite fazer qualquer transação on-chain por enquanto.”

Ele também observou incerteza sobre se os atacantes podem extrair frases-semente diretamente de carteiras de software.

Alvo sofisticado

O ataque representa um direcionamento sofisticado à cadeia de suprimentos, onde criminosos comprometem infraestruturas de desenvolvimento confiáveis para alcançar usuários finais.

Ao infiltrar pacotes baixados bilhões de vezes semanalmente, os atacantes obtiveram acesso sem precedentes a aplicativos de criptomoedas e interfaces de carteiras.

O BleepingComputer identificou a infraestrutura de phishing exfiltrando credenciais para “websocket-api2.publicvm.com”, demonstrando a natureza coordenada da operação.

Este incidente segue compromissos semelhantes de bibliotecas JavaScript ao longo de 2025, incluindo o ataque de julho ao “eslint-config-prettier”, que tinha 30 milhões de downloads semanais, e compromissos em março que afetaram dez bibliotecas populares do NPM.

O post Largest supply chain attack in history targets crypto users through compromised JavaScript packages apareceu primeiro no CryptoSlate.