Um ataque de phishing contra o desenvolvedor alemão Josh Junon, que usa o nick “qix” na plataforma NPM, comprometeu pacotes Javascript armazenados na conta dele, que já foram baixados mais de um bilhão de vezes. Charles Guillemet, CTO da empresa de segurança francesa Ledger, recomenda que “se você não usa uma carteira de hardware, evite fazer transações on-chain por enquanto”.
Segundo o alerta de Guillemet no X/Twitter, ‘Há um ataque em larga escala à cadeia de suprimentos em andamento: a conta NPM de um desenvolvedor respeitável foi comprometida. Os pacotes afetados já foram baixados mais de 1 bilhão de vezes, o que significa que todo o ecossistema JavaScript pode estar em risco. O payload malicioso funciona trocando silenciosamente endereços de criptomoedas em tempo real para roubar fundos. Se você usa uma carteira de hardware, preste atenção a cada transação antes de assinar e estará seguro. Se você não usa uma carteira de hardware, evite fazer transações on-chain por enquanto. Ainda não está claro se o invasor também está roubando de carteiras de software diretamente neste estágio”.
Guillemet indica a leitura de um relatório do engenheiro de software alemão Jan-David Stärk, chefe de desenvolvimento da Hansalog https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
No relatório, Stärk conta que o problema foi descoberto por causa de um erro de compilação de um dos pacotes. Segundo ele, “Tudo começou com uma falha de compilação enigmática em nosso pipeline de CI/CD. Este erro aparentemente insignificante foi o primeiro sinal de um ataque sofisticado à cadeia de suprimentos. Rastreamos a falha até uma pequena dependência, error-ex. Nosso servidor package-lock.json especificou a versão estável 1.3.2 ou mais recente; então ele instalou a versão mais recente 1.3.3, que foi publicada apenas alguns minutos antes”.
O relatório diz que foi localizado um código extremamente ofuscado, projetado para ser ilegível. Mas, escondido nessa confusão, havia um nome de função que imediatamente levantou suspeitas: checkethereumw. O invasor havia injetado um malware desenvolvido para detectar e roubar criptomoedas: “A chamada fetch causadora da falha em nossa compilação foi a tentativa do malware de exfiltrar dados. Nossa compilação falhou simplesmente porque nosso ambiente Node.js era antigo o suficiente para não ter uma função fetch global. Em um ambiente mais moderno, o ataque poderia ter passado completamente despercebido”.
