Um grande ataque cibernético abalou o ecossistema global de software e colocou milhões de usuários de cripto em risco. Hackers sequestraram a conta de um desenvolvedor popular no npm, a plataforma que alimenta grande parte da web, e inseriram atualizações maliciosas em bibliotecas de código amplamente utilizadas.
Essas bibliotecas estão profundamente integradas em inúmeros aplicativos e sites. Juntas, são baixadas mais de um bilhão de vezes a cada semana. Essa escala faz deste um dos maiores comprometimentos de cadeia de suprimentos de software já vistos.
Um novo malware visando transações de cripto
SponsoredO código malicioso tem como alvo transações de criptomoedas. Ele opera de duas maneiras.
Primeiro, se nenhuma carteira for detectada, o malware procura por endereços de cripto dentro de um site e os substitui por endereços controlados pelos atacantes.
Ele usa truques engenhosos para trocá-los por endereços visualmente quase idênticos. Isso facilita para os usuários não perceberem a troca.
Em segundo lugar, se uma carteira como a MetaMask estiver presente, o código altera ativamente as transações.
Quando um usuário se prepara para enviar fundos, o malware intercepta os dados e substitui o destinatário pelo endereço do atacante. Se o usuário assinar sem verificar cuidadosamente, seu dinheiro desaparece.
Sponsored SponsoredTodo usuário de cripto pode estar em risco
O ataque começou quando a conta npm do desenvolvedor conhecido como Qix foi comprometida. Hackers então publicaram novas versões de dezenas de seus pacotes, incluindo as utilidades principais mencionadas acima.
Desenvolvedores que atualizaram seus projetos incorporaram essas versões contaminadas automaticamente. Qualquer site ou aplicativo descentralizado que os implantou pode ter exposto seus usuários sem saber.
A violação foi descoberta apenas após um erro de compilação chamar a atenção para um código estranho e ilegível dentro de um dos pacotes atualizados.
Especialistas em segurança posteriormente identificaram que se tratava de um sofisticado “crypto-clipper” projetado para redirecionar fundos silenciosamente.
A ameaça é especialmente séria para quem realiza transações através de um navegador web. Se você copiou um endereço de um site ou assinou uma transferência sem verificar, pode estar em risco.
O Diretor de Tecnologia da Ledger emitiu um alerta severo nas redes sociais.
O que fazer agora:
Sponsored SponsoredEspecialistas recomendam várias medidas urgentes para todos os investidores de cripto:
- Verifique endereços: Sempre leia o endereço completo na tela de confirmação da sua carteira ou dispositivo de hardware antes de assinar.
- Pare atividades se estiver em dúvida: Se você usa uma carteira baseada em navegador ou software, considere adiar transações até que mais informações sejam conhecidas.
- Verifique atividades recentes: Revise transferências e aprovações passadas. Se notar algo suspeito, revogue aprovações e mova fundos para uma nova carteira.
- Use transações de teste: Ao enviar para um novo endereço, transfira uma pequena quantia primeiro para confirmar que chega com segurança.
- Confie em carteiras de hardware: Dispositivos que mostram detalhes da transação em uma tela separada continuam sendo a opção mais segura.
O ataque mostra como a confiança no ecossistema de software de código aberto pode ser frágil. Uma única conta de desenvolvedor comprometida permitiu que hackers inserissem código perigoso em bilhões de downloads.
Este incidente ainda está em andamento. As versões maliciosas estão sendo removidas, mas algumas podem permanecer online por dias ou semanas. A abordagem mais segura é a vigilância.
Se você usa cripto, verifique cada transação com cuidado. Um olhar extra para o endereço na sua carteira pode ser a diferença entre segurança e roubo.
