{"id":2165,"date":"2025-09-09T01:55:28","date_gmt":"2025-09-09T01:55:28","guid":{"rendered":"https:\/\/bitcoinnewscrypto.com\/pt\/?p=2165"},"modified":"2025-09-09T01:55:28","modified_gmt":"2025-09-09T01:55:28","slug":"crypto-supply-chain-attack-npm-malware","status":"publish","type":"post","link":"https:\/\/bitcoinnewscrypto.com\/pt\/news\/solana\/crypto-supply-chain-attack-npm-malware\/","title":{"rendered":"Ciberataque Massivo Rouba Criptomoedas! Ataque \u00e0 Cadeia de Suprimentos em Foco"},"content":{"rendered":"<p>Um novo ciberataque est\u00e1 roubando criptomoedas de usu\u00e1rios enquanto eles enviam transa\u00e7\u00f5es, e muitos especialistas o chamam de o maior ataque \u00e0 cadeia de suprimentos da hist\u00f3ria. Hackers invadiram contas de mantenedores de pacotes npm usando e-mails de phishing. Esses e-mails pareciam vir de &#8220;<a href=\"mailto:support@npmjs.help\">support@npmjs.help<\/a>&#8220;, que copiava o registro npm real. As mensagens diziam aos desenvolvedores que suas contas seriam bloqueadas a menos que atualizassem sua autentica\u00e7\u00e3o de dois fatores. Quando os mantenedores clicavam no link, os invasores obtinham seus dados de login e colocavam malware dentro de pacotes npm populares.<\/p>\n\n<p>Dezoito bibliotecas JavaScript amplamente utilizadas foram comprometidas, incluindo chalk, debug e ansi-styles. Juntos, esses pacotes recebem bilh\u00f5es de downloads a cada semana e s\u00e3o usados por desenvolvedores em todo o mundo. Isso significa que todo o ecossistema JavaScript pode ter sido exposto. A BleepingComputer relatou que os invasores injetaram c\u00f3digo nessas bibliotecas que agia como um interceptador baseado em navegador. Esse c\u00f3digo observava o tr\u00e1fego de rede e procurava transa\u00e7\u00f5es de criptomoedas em Bitcoin, Ethereum, Solana, Tron, Litecoin e Bitcoin Cash. Quando algu\u00e9m enviava uma transfer\u00eancia, o malware substitu\u00eda o endere\u00e7o real da carteira por um controlado pelos hackers antes que a transa\u00e7\u00e3o fosse assinada.<\/p>\n\n<p>O pesquisador de seguran\u00e7a Charlie Eriksen explicou que o malware funciona de v\u00e1rias maneiras. Ele altera o que \u00e9 mostrado em sites, manipula chamadas de API e engana aplicativos para que assinem transa\u00e7\u00f5es que o usu\u00e1rio n\u00e3o pretendia. Charles Guillemet, CTO da Ledger, alertou que o ataque ainda est\u00e1 ativo e disse que os usu\u00e1rios de criptomoedas devem evitar fazer transa\u00e7\u00f5es on-chain se usarem apenas carteiras de software. Os usu\u00e1rios de carteiras de hardware podem se proteger verificando os detalhes antes de assinar, mas qualquer pessoa sem uma corre maior risco.<\/p>\n\n<p>Pesquisadores tamb\u00e9m descobriram que a infraestrutura de phishing enviava detalhes roubados para &#8220;websocket-api2.publicvm.com&#8221;. Isso mostra que o ataque foi bem coordenado. Ele segue outros incidentes npm no in\u00edcio deste ano, incluindo um em mar\u00e7o que corrigiu o pacote ethers com um shell reverso e outro em julho que teve como alvo o eslint-config-prettier. A campanha continua a evoluir, e desta vez os invasores usaram contratos inteligentes Ethereum de uma nova maneira. Dois pacotes npm chamados colortoolsv2 e mimelib2 esconderam comandos maliciosos dentro de contratos inteligentes Ethereum. Uma vez baixados, os pacotes instalaram malware de segundo est\u00e1gio, tornando mais dif\u00edcil a detec\u00e7\u00e3o.<\/p>\n\n<p>Contratos inteligentes Ethereum s\u00e3o pequenos programas que s\u00e3o executados na blockchain. Eles s\u00e3o p\u00fablicos e atuam como APIs abertas. Neste caso, os hackers os usaram para armazenar links para baixar o malware, ent\u00e3o, mesmo que algu\u00e9m verificasse o pacote, ele poderia n\u00e3o ver o c\u00f3digo perigoso. Este m\u00e9todo criativo de comando e controle mostra como os atores de amea\u00e7as est\u00e3o se adaptando para evitar a detec\u00e7\u00e3o.<\/p>\n\n<p>Os invasores tamb\u00e9m tentaram fazer com que seus reposit\u00f3rios GitHub parecessem confi\u00e1veis. Eles criaram projetos falsos como solana-trading-bot-v2 e ethereum-mev-bot-v2. Estes tiveram muitas estrelas, observadores e commits, mas a maior parte dessa atividade era falsa. Contas foram criadas ao mesmo tempo, muitas vezes com apenas um arquivo, e commits automatizados inflaram os n\u00fameros. Esse truque de engenharia social fez com que os reposit\u00f3rios parecessem reais para desenvolvedores que podem incluir os pacotes npm maliciosos em seu trabalho.<\/p>\n\n<p>Especialistas alertam que os ataques \u00e0 cadeia de suprimentos s\u00e3o especialmente perigosos porque visam ferramentas confi\u00e1veis. Ao ocultar malware dentro de bibliotecas de c\u00f3digo aberto, os hackers podem atingir milh\u00f5es de desenvolvedores e usu\u00e1rios finais de uma s\u00f3 vez. Somente este ano, pesquisadores encontraram mais de vinte campanhas em npm, GitHub e PyPI destinadas a roubar criptomoedas. Alguns usaram infostealers, outros implantaram mineradores de moedas e muitos confiaram em phishing para capturar dados confidenciais.<\/p>\n\n<p>Indicadores de Comprometimento (IOCs), como dom\u00ednios suspeitos, c\u00f3digo ofuscado e reposit\u00f3rios falsos, ajudam as equipes de seguran\u00e7a a detectar essas amea\u00e7as. Ainda assim, muitos usu\u00e1rios n\u00e3o perceber\u00e3o at\u00e9 que os fundos desapare\u00e7am. Por enquanto, os desenvolvedores precisam verificar cuidadosamente os pacotes, os mantenedores e o c\u00f3digo antes de usar. Os usu\u00e1rios de criptomoedas devem considerar carteiras de hardware e evitar fazer grandes transfer\u00eancias at\u00e9 que a amea\u00e7a esteja sob controle. O ataque mostra a rapidez com que o cibercrime est\u00e1 evoluindo e como \u00e9 importante proteger as cadeias de suprimentos de software e os ativos digitais.<\/p>","protected":false},"excerpt":{"rendered":"<p>Um novo ciberataque est\u00e1 roubando criptomoedas de usu\u00e1rios enquanto eles enviam transa\u00e7\u00f5es, e muitos especialistas o chamam de o maior ataque \u00e0 cadeia de suprimentos da hist\u00f3ria. Hackers invadiram contas&hellip;<\/p>\n","protected":false},"author":2,"featured_media":2166,"comment_status":"closed","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-2165","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-solana"],"_links":{"self":[{"href":"https:\/\/bitcoinnewscrypto.com\/pt\/wp-json\/wp\/v2\/posts\/2165","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bitcoinnewscrypto.com\/pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bitcoinnewscrypto.com\/pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/pt\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/pt\/wp-json\/wp\/v2\/comments?post=2165"}],"version-history":[{"count":1,"href":"https:\/\/bitcoinnewscrypto.com\/pt\/wp-json\/wp\/v2\/posts\/2165\/revisions"}],"predecessor-version":[{"id":2167,"href":"https:\/\/bitcoinnewscrypto.com\/pt\/wp-json\/wp\/v2\/posts\/2165\/revisions\/2167"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/pt\/wp-json\/wp\/v2\/media\/2166"}],"wp:attachment":[{"href":"https:\/\/bitcoinnewscrypto.com\/pt\/wp-json\/wp\/v2\/media?parent=2165"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/pt\/wp-json\/wp\/v2\/categories?post=2165"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/pt\/wp-json\/wp\/v2\/tags?post=2165"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}