Ataque à Cadeia de fornecimento NPM: Um Perigo Imediato para os Utilizadores de Cripto Exchanges?

Uma das maiores exchanges de criptomoedas do mundo tranquilizou os clientes na terça-feira, afirmando que nenhum dado de usuário ou ativos foram comprometidos durante o que está sendo chamado de um dos maiores ataques à cadeia de suprimentos já registrados no ecossistema JavaScript.

De acordo com a sua declaração no X, a exchange confirmou que escaparam ilesos durante uma violação que visava pacotes Node.js amplamente utilizados, envolvidos em mais de 2 mil milhões de downloads de aplicações por semana.

“Estamos cientes do recente ataque à cadeia de suprimentos, que publicou versões maliciosas de vários pacotes JavaScript amplamente utilizados,” declarou a empresa. “Após investigação, confirmamos que não fomos afetados e que nenhum dado ou ativo dos clientes está em risco.”

O co-fundador da exchange comentou nas redes sociais: “Até o software de código aberto não é seguro nos dias de hoje. O Web3 vai redefinir a segurança para o Web2. Ainda estamos no começo.” Esta declaração parece um pouco egoísta - posicionando o Web3 como uma solução enquanto a sua própria plataforma depende fortemente da infraestrutura web tradicional.

A Mecânica do Ataque

O ataque, ocorrido em 8 de setembro, envolveu hackers comprometendo a conta do mantenedor de código aberto confiável “qix” (Josh Junon) através de phishing sofisticado. Os atacantes enviaram um e-mail impersonando comunicações oficiais do npmjs, alertando Junon que sua conta seria bloqueada a menos que ele atualizasse imediatamente suas credenciais de autenticação de dois fatores.

Junon admitiu ter caído na armadilha depois que outro mantenedor descobriu que a sua conta NPM estava “publicando pacotes com portas dos fundos.” Isso permitiu que atacantes sequestrassem sua conta e enviassem atualizações maliciosas para 18 bibliotecas populares do Node.js, incluindo chalk, debug, ansi-styles e strip-ansi - componentes incorporados em toda a web.

Malware de Alvo Cripto

A análise da Aikido Security revelou que os atacantes injetaram código que funcionava como interceptores baseados em navegador. Este código malicioso monitorizava endereços de carteira e transações em grandes criptomoedas, incluindo Bitcoin, Ethereum, Solana, Tron, Litecoin e Bitcoin Cash. Quando detectado, o malware substituía silenciosamente os endereços de carteira de destino por aqueles controlados pelos atacantes.

O diretor de tecnologia da fabricante de carteiras de hardware Ledger observou que o código malicioso havia se propagado em pacotes com mais de um bilhão de downloads - um alcance impressionante que poderia ter devastado usuários de criptomoedas em todo o mundo.

Surpreendentemente, a empresa de análise de blockchain Arkham Intelligence reportou que apenas $159 em criptomoedas havia sido roubado até segunda-feira. No entanto, os pesquisadores alertam que este número baixo não representa um dano potencial limitado, dado os bilhões de downloads associados aos pacotes comprometidos.

Enquanto esta exchange em particular afirma ter escapado ilesa, o incidente destaca a fragilidade da infraestrutura de segurança do ecossistema das criptomoedas. Os usuários devem questionar se as exchanges estão sendo totalmente transparentes sobre sua exposição a tais vulnerabilidades generalizadas, especialmente quando bilhões em ativos estão em jogo.