Um grande ciberataque abalou o ecossistema global de software e colocou milhões de usuários de criptomoedas em risco. Hackers sequestraram a conta de um desenvolvedor popular no npm, a plataforma que alimenta grande parte da web, e inseriram atualizações maliciosas em bibliotecas de código amplamente utilizadas.
Essas bibliotecas estão enterradas profundamente dentro de incontáveis aplicativos e sites. Juntas, elas são baixadas mais de um bilhão de vezes a cada semana. Essa escala faz com que seja uma das maiores compromissos da cadeia de suprimento de software já vistos.
Um Novo Malware Direcionado a Transações de Criptomoedas
O código malicioso visa transações de criptomoedas. Ele funciona de duas maneiras.
Primeiro, se nenhuma carteira for detectada, o malware procura endereços de cripto dentro de um site e os substitui por endereços controlados pelo atacante.
Ele usa truques inteligentes para trocá-los por sósias que são visualmente quase idênticos. Isso facilita para os usuários não perceberem a troca.
Em segundo lugar, se uma carteira como a MetaMask estiver presente, o código altera ativamente as transações.
Quando um usuário se prepara para enviar fundos, o malware intercepta os dados e substitui o destinatário pelo endereço do atacante. Se o usuário assinar sem verificar cuidadosamente, seu dinheiro desaparece.
Todo usuário de cripto pode estar em risco
O ataque começou quando a conta npm do desenvolvedor conhecido como Qix foi comprometida. Hackers então publicaram novas versões de dezenas de seus pacotes, incluindo as utilidades principais mencionadas acima.
Desenvolvedores que atualizaram seus projetos puxaram essas versões envenenadas automaticamente. Qualquer site ou aplicação descentralizada que as implementou poderia expor involuntariamente seus usuários.
A violação foi descoberta apenas depois que um erro de construção chamou a atenção para um código estranho e ilegível dentro de um dos pacotes atualizados.
Especialistas em segurança descobriram depois que era um sofisticado “crypto-clipper” projetado para redirecionar fundos silenciosamente.
A ameaça é especialmente séria para anyone fazendo transações através de um navegador da web. Se você copiou um endereço de um site, ou se você assinou uma transferência sem verificar, você pode estar em risco.
O Diretor de Tecnologia da Ledger emitiu um aviso severo nas redes sociais.
O que você deve fazer agora
Especialistas recomendam várias etapas urgentes para todos os detentores de cripto:
Verifique endereços: Sempre leia o endereço completo na tela de confirmação da sua carteira ou dispositivo de hardware antes de assinar.
Pause a atividade se não tiver certeza: Se você usa uma carteira baseada em navegador ou software, considere adiar as transações até que mais informações estejam disponíveis.
Verifique a atividade recente: Revise transferências e aprovações passadas. Se você ver algo suspeito, revogue as aprovações e mova os fundos para uma nova carteira.
Use transações de teste: Ao enviar para um novo endereço, transfira uma pequena quantia primeiro para confirmar que chega com segurança.
Confie em carteiras de hardware: Dispositivos que mostram detalhes da transação em uma tela separada continuam sendo a opção mais segura.
O ataque mostra como a confiança no ecossistema de software de código aberto pode ser frágil. Uma única conta de desenvolvedor comprometida permitiu que hackers inserissem código perigoso em bilhões de downloads.
Este incidente ainda está se desenrolando. As versões maliciosas estão sendo removidas, mas algumas podem permanecer online por dias ou semanas. A abordagem mais segura é a vigilância.
Se você usa cripto, verifique cada transação com cuidado. Uma olhada extra no endereço da sua carteira pode ser a diferença entre segurança e roubo.