Em 8 de setembro, Charles Guillemet, diretor de tecnologia da Ledger, alertou sobre um ataque ativo à cadeia de suprimentos que poderia afetar todo o ecossistema JavaScript. Em um post no X, ele revelou que a conta do Node Package Manager (NPM) de um desenvolvedor respeitável havia sido comprometida. O atacante inseriu código malicioso em pacotes com mais de mil milhões de downloads, o que fez soar o alarme em toda a comunidade criptográfica.
O código injetado foi concebido para trocar silenciosamente os endereços das carteiras de criptomoedas durante as transacções. Na prática, isto significava que os utilizadores desprevenidos podiam enviar fundos diretamente para o endereço de um atacante sem se aperceberem disso.
Guillemet enfatizou que as carteiras de hardware permaneciam seguras, desde que os utilizadores verificassem todas as transacções antes de as assinarem. Ele aconselhou todos os outros usuários a pausar a atividade onchain até que a situação se tornasse mais clara.
Preocupações iniciais em todo o ecossistema
A notícia causou preocupação imediata no setor de criptografia, onde muitos aplicativos descentralizados dependem de pacotes JavaScript de código aberto. Uma dependência comprometida poderia expor os usuários em Ethereum, Solana e outras cadeias.
Vários projetos, incluindo Marinade, Solflare, Step Finance, Jupiter, Drift e Phantom, rapidamente emitiram declarações confirmando que seus sistemas não haviam sido afetados.
Apesar destas garantias, a escala de exposição potencial era significativa. Os pacotes NPM estão na base de muitas aplicações amplamente utilizadas, e uma violação desta natureza realçou a fragilidade da segurança da cadeia de fornecimento no desenvolvimento de software.
Mecânica e intenção do ataque
Numa publicação posterior, a 9 de setembro, Guillemet forneceu mais pormenores. Os atacantes obtiveram acesso por meio de uma campanha de e-mail de phishing, fazendo-se passar pelo suporte do NPM. Usando um domínio falso, eles roubaram credenciais de desenvolvedor e publicaram atualizações maliciosas para pacotes amplamente utilizados. O código injetado tentou intercetar a atividade criptográfica baseada na Web, ligando-se às respostas da rede e substituindo os endereços das carteiras.
No entanto, erros de implementação prejudicaram a eficácia do ataque. O código malicioso causou falhas na integração contínua e nos pipelines de implementação, alertando os programadores e as equipas de segurança mais cedo do que os atacantes provavelmente pretendiam. Esta perturbação limitou o âmbito do ataque e reduziu o número de roubos bem sucedidos.
Danos financeiros mínimos
A análise do blockchain sugere que os atacantes roubaram uma quantia mínima. O pesquisador @4484, que agrupou as carteiras ligadas ao incidente em Arkham sob o rótulo de "ataque NPM", encontrou apenas $ 503.59 em fundos roubados. Algumas horas antes, o valor era de US$ 66, o que mostra que o total pode ter crescido gradualmente, mas permaneceu insignificante em comparação com a escala potencial do comprometimento.
O pseudónimo do fundador do DefiLlama, 0xngmi, explicou porque é que o impacto foi limitado. O código malicioso podia modificar as transacções em sítios Web utilizando dependências comprometidas, como a substituição de endereços de destino. No entanto, os utilizadores ainda tinham de aprovar manualmente estas transacções alteradas nas suas carteiras, o que impedia a drenagem automática de fundos.
A Security Alliance, um coletivo de segurança, descreveu o resultado como "sorte", observando que se os atacantes tivessem executado o payload de forma mais eficaz, os danos potenciais poderiam ter sido imensos.
Uma fuga estreita
O ataque à cadeia de suprimentos da NPM em setembro serve tanto como um aviso quanto como um lembrete. As perdas efectivas foram pequenas, mas a escala de exposição potencial era vasta. Com mais de um bilião de downloads dos pacotes afectados, o incidente demonstrou como uma conta comprometida pode ter um efeito de onda em todo o ecossistema.
Os utilizadores e programadores de criptomoedas enfrentam um cenário de ameaças em constante evolução. Embora as carteiras de hardware e a verificação de transacções continuem a ser defesas fiáveis, os atacantes continuarão a sondar os pontos fracos das cadeias de fornecimento de software. O último episódio pode ter terminado com quase "nenhuma vítima", mas o próximo pode ser muito mais prejudicial.
Leia mais em SolanaFloor
Fundamentos de segurança de criptografia
Você acha que Solana tem um problema de perceção?
