Um ataque massivo à cadeia de suprimentos de software comprometeu 20 pacotes populares da plataforma npm, impactando milhões de desenvolvedores em todo o mundo. O objetivo dos hackers foi disseminar um malware especializado em roubo de criptomoedas, explorando a confiança em bibliotecas amplamente utilizadas no ecossistema de código aberto.
O ponto de entrada foi um golpe de phishing direcionado a Josh Junon (Qix), co-mantenedor de diversos pacotes. Ele recebeu um e-mail falso se passando pelo suporte oficial do npm, solicitando a atualização das credenciais de autenticação de dois fatores (2FA). Ao clicar no link, Junon foi levado a uma página controlada pelos criminosos, que capturou seu usuário, senha e token de 2FA por meio de um ataque do tipo Adversário no Meio (AiTM).
Com o acesso, os invasores publicaram versões maliciosas de pacotes legítimos. Em um comunicado na rede social Bluesky, Junon reconheceu o erro: “Sinto muito a todos, deveria ter prestado mais atenção. Vou trabalhar para resolver isso.”
A análise do código malicioso revelou que o malware interceptava transações financeiras em navegadores, substituindo o endereço das carteiras de destino por endereços controlados pelos hackers. Segundo a Aikido Security, o payload sequestrava chamadas de APIs, incluindo window.fetch, XMLHttpRequest e window.ethereum.request, explorando conexões de usuários com carteiras digitais.
Embora os desenvolvedores não fossem os alvos diretos, qualquer usuário que acessasse sites baseados nos pacotes comprometidos estava em risco. Caso o visitante tivesse uma carteira de criptomoedas conectada, as chances de roubo aumentavam significativamente.
Relatórios recentes apontam que ataques desse tipo estão em alta. O Relatório de Segurança da Cadeia de Suprimentos de Software 2025 da ReversingLabs indica que o npm foi alvo de 14 das 23 campanhas maliciosas de roubo de criptomoedas em 2024.
Para especialistas como Ilkka Turunen, CTO da Sonatype, a situação reforça a gravidade da ameaça: “Ao assumir o controle de pacotes populares de código aberto, invasores conseguem roubar dados, deixar backdoors e comprometer organizações inteiras.”
Além de Junon, outro mantenedor de alto perfil, duckdb_admin, também teve sua conta comprometida, sendo usado para propagar o mesmo malware. O incidente destaca como engenharia social e phishing continuam sendo estratégias eficazes para grupos hackers avançados, como o Lazarus, que buscam atingir alvos em larga escala ao explorar um único ponto de falha.
Para reduzir os riscos, especialistas recomendam que equipes de desenvolvimento reforcem seus pipelines de CI/CD, monitorem constantemente suas dependências e adotem camadas adicionais de proteção contra phishing e roubo de credenciais.
