Eventos

ARTIGO

Ataque ao NPM: Mais de um bilhão de downloads comprometidos

DonQuijote

há 5 horas

2

1

0

O ecossistema JavaScript e as criptomoedas enfrentam um dos maiores incidentes de segurança do ano. No início de setembro de 2025, uma conta de desenvolvedor da NPM, plataforma essencial para milhões de projetos, foi comprometida e utilizada para distribuir pacotes maliciosos.

O ataque tem uma escala sem precedentes: os pacotes afetados ultrapassaram um bilhão de downloads, com capacidade de alterar transações de criptomoedas em tempo real.

O comprometimento da NPM e seu impacto

O ataque começou quando uma conta de desenvolvedor confiável na NPM foi invadida, aparentemente por meio de técnicas de engenharia social. Uma vez dentro, os atacantes publicaram versões infectadas de pelo menos dezoito pacotes populares, usados como dependências em projetos diversos, desde aplicativos web até ferramentas de desenvolvimento.

O impacto foi imediato e massivo. Esses pacotes haviam sido baixados mais de um bilhão de vezes apenas na última semana, tornando este incidente o maior ataque já registrado contra a cadeia de suprimentos da NPM.

A magnitude da propagação evidencia como a confiança depositada em bibliotecas amplamente utilizadas pode se transformar em um vetor de ataque global.

Um ataque projetado para roubar criptomoedas

A carga maliciosa incluída nos pacotes tinha um propósito específico: redirecionar fundos dos usuários.
O código inserido substituía em segundo plano os endereços de destino das transações, fazendo com que o usuário acreditasse estar enviando fundos para uma conta legítima, quando, na verdade, eram transferidos para um endereço controlado pelos atacantes.

Esse tipo de manipulação é especialmente crítico no setor de criptomoedas, já que operações assinadas não podem ser revertidas. Segundo Charles Guillemet, CTO da Ledger, a ameaça é transversal e pode afetar qualquer blockchain, o que aumenta a gravidade do caso e obriga a comunidade a reforçar as precauções.

Riscos para carteiras de hardware e software

Os riscos variam conforme o tipo de carteira utilizada:

  • Carteiras de hardware (Ledger, Trezor): oferecem maior proteção, mas não são invulneráveis. Os usuários devem verificar cuidadosamente cada detalhe da transação antes de aprová-la em seus dispositivos, já que essa revisão constitui a última linha de defesa.

  • Carteiras de software: estão em maior risco. As transações podem ser interceptadas e manipuladas sem que o usuário perceba. A recomendação imediata é suspender operações on-chain até que o alcance do ataque seja esclarecido.

Um ponto de incerteza é que ainda não foi confirmado se os atacantes também tentaram roubar frases-semente, o que, se comprovado, aumentaria as consequências do incidente.

Uma cadeia de ataques em crescimento

Este não é um caso isolado, mas parte de uma tendência crescente durante 2025:

  • Julho: pacotes como got-fetch e eslint-config-prettier foram comprometidos para distribuir malware que roubava informações sensíveis.
  • Maio: mais de sessenta pacotes da NPM e extensões do Visual Studio Code incorporaram código malicioso para coletar endereços IP, credenciais e dados de configuração.
  • Agosto: o framework Nx foi atacado com malware capaz de extrair tokens, chaves SSH e credenciais do GitHub, utilizando até mesmo inteligência artificial para aperfeiçoar a fase de reconhecimento.

A continuidade desses incidentes demonstra que os ataques contra a cadeia de suprimentos já não são esporádicos, mas sim um padrão recorrente que explora a confiança que desenvolvedores e usuários depositam em projetos de código aberto.

Estratégias de mitigação e resposta

As medidas imediatas sugeridas são:

  • Usuários de criptomoedas:

    • Utilizar apenas carteiras de hardware.
    • Evitar operações com carteiras de software até confirmação oficial.
    • Verificar em detalhe cada transação antes de assinar.

  • Desenvolvedores:

    • Auditar exaustivamente as dependências utilizadas.
    • Confirmar que as versões instaladas correspondem às oficiais.
    • Implementar ferramentas SCA e gerar listas SBOM.
    • Reforçar a autenticação de contas na NPM.

A NPM já desativou os pacotes comprometidos, mas ainda trabalha na recuperação da conta afetada e na redistribuição de versões seguras.

Conclusão

O ataque detectado representa um dos episódios mais graves na história da NPM e expõe com clareza a fragilidade da cadeia de suprimentos no desenvolvimento de software.

Com mais de um bilhão de downloads afetados, a ameaça alcançou escala global, colocando em risco tanto desenvolvedores quanto usuários de criptomoedas. A incerteza sobre o possível roubo de frases-semente aumenta a urgência de manter a cautela.

1

0

NEWSLETTER

Inscreva-se!

E fique por dentro das últimas novidades

Outras novidades que podem te interessar

Guia para Começar no Web3: Wallets, NFTs e Jogos com Recompensas | 30 ago 2025
Como enviar criptomoedas da Ripio para a MetaMask | 12 jul 2025
Pizza Day: Ganhe uma pizza neste dia especial | 21 may 2025
Bem-vindo, Riot, ao Web3 | 7 may 2025
Agora você pode pegar empréstimos e ganhar recompensas com suas criptos na Ronin graças ao Compound. | 31 mar 2025

Etiquetas

npmseguridad en npmpaquetes maliciososcriptomonedasingeniería socialcadena de suministroataque a npmredirección de fondoscarteras hardwarecarteras softwarerobo de frases semillamalware en npmmitigación de ataquesauditoría de dependenciasautenticación en npmseguridad en criptomonedasincidentes de seguridad 2025

Junte-se à nossa comunidade

A maior comunidade de jogos da América Latina.

Parceria com a OLA GG
Sobre a Ola GG
Termos e Condições
Política de Cookies
Regra das Escolinhas
Perguntas Frequentes
Política de Privacidade
Suporte

© Ola GG. Todos os direitos reservados 2024.