CTO da Ledger alerta usuários sobre ameaça de violação na cadeia de suprimentos do NPM que coloca em risco a segurança das criptomoedas

Uma violação em larga escala na cadeia de suprimentos abalou a comunidade open-source após hackers comprometerem a conta do Node Package Manager (NPM) de um desenvolvedor renomado. Pacotes amplamente utilizados foram afetados, gerando grandes preocupações em todo o ecossistema JavaScript.

Violação no NPM levanta preocupações sobre a segurança de carteiras

Charles Guillemet, diretor de tecnologia da Ledger, revelou a extensão da ameaça. Ele relatou que uma conta importante do NPM havia sido sequestrada e que os pacotes afetados já haviam sido baixados mais de um bilhão de vezes. Dada essa abrangência, ele afirmou que todo o ecossistema JavaScript poderia estar exposto. O código malicioso atuava silenciosamente, trocando endereços de criptomoedas em tempo real para desviar fundos para os atacantes.

Guillemet pediu cautela. Ele explicou que usuários de carteiras de hardware permanecem seguros se verificarem cuidadosamente cada transação antes de aprovar. Para aqueles que dependem de carteiras de software, recomendou evitar transações on-chain até que a situação fique mais clara. Ele também observou que ainda não está claro se os atacantes estão tentando extrair diretamente as seeds de recuperação das carteiras de software.

Desenvolvedor confirma sequestro de conta

O mantenedor no centro da violação, Josh Junon, confirmou que sua conta do NPM havia sido comprometida. Em uma publicação no Bluesky, ele explicou que o sequestro resultou de uma campanha de phishing. Os atacantes criaram um domínio falso, ‘support [at] npmjs [dot]’ help, projetado para se assemelhar ao site oficial npmjs.com.

Os mantenedores receberam e-mails ameaçadores alegando que suas contas seriam bloqueadas em 10 de setembro de 2025. Essas mensagens incluíam links que redirecionavam para sites de phishing projetados para roubar credenciais. O e-mail falso afirmava:

Para manter a segurança e integridade da sua conta, pedimos gentilmente que você conclua esta atualização o quanto antes. Observe que contas com credenciais 2FA desatualizadas serão temporariamente bloqueadas a partir de 10 de setembro de 2025, para evitar acessos não autorizados.

Outros desenvolvedores logo relataram terem sido alvo da mesma forma, confirmando que o esquema de phishing atingiu além de um único mantenedor.

Resposta à violação do NPM e análise técnica

A equipe do NPM agiu rapidamente assim que a violação foi detectada, removendo as versões maliciosas enviadas pelos atacantes. Entre as removidas estava uma versão do pacote debug, que é baixado centenas de milhões de vezes a cada semana — estimado em cerca de 357 milhões.

Uma análise adicional foi conduzida pela Aikido Security, e a investigação revelou o seguinte:

• Os atacantes adicionaram código malicioso nos arquivos index.js dos pacotes sequestrados. Isso atuava como um interceptador de navegador, sequestrando o tráfego e mirando usuários de criptomoedas.
• O malware era incorporado nos navegadores e conectado a funções como fetch, XMLHttpRequest e APIs de carteiras como window.ethereum e Solana, dando acesso à atividade web e de carteiras.
• Uma vez ativo, ele escaneava dados em busca de endereços de carteiras em Ethereum, Bitcoin, Solana, Tron, Litecoin e Bitcoin Cash. Os endereços detectados eram trocados por endereços controlados pelos atacantes, muitas vezes feitos para parecer semelhantes.
• Alterava detalhes das transações antes da assinatura, mudando destinatários, aprovações ou permissões enquanto a interface parecia normal, enviando fundos para os atacantes.
• Para permanecer oculto, evitava mudanças visíveis quando uma carteira estava presente, operando silenciosamente em segundo plano e manipulando transações reais.

Apelo por precauções mais rigorosas

Em comentários ao CoinDesk, Guillemet alertou que aplicações descentralizadas ou carteiras de software que incluam os pacotes comprometidos podem não ser seguras, deixando usuários de criptomoedas em risco de perder fundos. Ele enfatizou que a proteção mais confiável é uma carteira de hardware com display seguro que suporte Clear Signing.

Essa abordagem permite que os usuários verifiquem o endereço e os detalhes de cada transação diretamente na tela do dispositivo, garantindo que o que aprovam corresponde à sua intenção.

Ele acrescentou que a situação serve como um forte lembrete de práticas essenciais: “sempre verifique suas transações, nunca assine às cegas.” Ele também recomendou o uso de uma carteira de hardware com display seguro para ajudar a garantir a segurança.