O maior ataque à cadeia de suprimentos da história do software ocorreu, com hackers comprometendo bibliotecas centrais do Node Package Manager (NPM). Este ataque afetou milhões de aplicações em todo o mundo e colocou em risco usuários de criptomoedas.
De acordo com relatórios de segurança publicados na segunda-feira (8), criminosos digitais invadiram a conta de um desenvolvedor conhecido e injetaram malware em pacotes JavaScript amplamente utilizados.
Entre as bibliotecas comprometidas estão chalk, strip-ansi e color-convert, utilitários aparentemente simples, mas essenciais em árvores de dependências de inúmeros projetos.
Esses pacotes somam mais de 1 bilhão de downloads semanais, indicando que até mesmo desenvolvedores que nunca os instalaram diretamente podem estar indiretamente expostos.
Segundo Charles Guillemet, diretor de tecnologia da Ledger, “todo o ecossistema JavaScript pode estar em risco”, já que os pacotes adulterados circulam livremente em aplicações e serviços críticos.
O alvo: carteiras de criptomoedas
O malware identificado é do tipo crypto-clipper, capaz de substituir endereços de carteiras durante transações e desviar fundos.
Na prática, ao tentar realizar um swap ou transferência em um site comprometido, o usuário pode estar enviando seus ativos diretamente para o hacker.
Embora o código não drene automaticamente as carteiras, especialistas alertam que basta uma aprovação descuidada da transação para que a fraude se concretize.
Usuários de carteiras de software estão mais vulneráveis, enquanto quem utiliza carteiras de hardware — que exigem confirmação manual — está mais protegido.
Phishing abriu a porta para o ataque
A investigação aponta que os hackers usaram phishing direcionado para obter acesso às contas de mantenedores do NPM.
E-mails falsos, enviados em nome do suporte oficial da plataforma, pediam atualização da autenticação de dois fatores sob a ameaça de bloqueio de contas até 10 de setembro.
Com as credenciais em mãos, os invasores publicaram versões maliciosas dos pacotes. O pesquisador Charlie Eriksen, da Aikido Security, destacou a gravidade da ofensiva.
“O ataque operava em múltiplas camadas: adulterava o conteúdo exibido em sites, manipulava chamadas de API e até enganava os aplicativos sobre o que estavam assinando.”
O que fazer agora
A recomendação de especialistas é evitar transações com criptomoedas até que os pacotes sejam auditados e limpos. Como muitos usuários e desenvolvedores não conseguem identificar facilmente quais projetos foram atualizados com as versões comprometidas, qualquer operação pode trazer risco elevado.
Além disso, desenvolvedores são orientados a fixar versões antigas (conhecidas e seguras) de suas dependências até que a situação esteja normalizada.
Risco sistêmico
O episódio reforça o risco estrutural da cadeia de suprimentos digital, onde a dependência de pequenos pacotes compartilhados globalmente pode representar uma brecha crítica para ataques massivos.
No caso específico, o impacto pode ser ainda maior por envolver bibliotecas usadas por exchanges, carteiras digitais e aplicações descentralizadas (dApps), ampliando o potencial de perdas no setor de criptomoedas.
