O maior ataque da cadeia de suprimentos em história tem como alvo os usuários de criptografia por meio de pacotes JavaScript comprometidos

Um novo ataque cibernético está direcionando silenciosamente criptografia de usuários durante transações em meio a um incidente que os pesquisadores de segurança descrevem como o maior ataque da cadeia de suprimentos da história.

O BleepingComputer relatou que os hackers comprometiam contas de mantenedores de pacotes NPM através de e -mails de phishing e malware injetado que roubam criptografia.

O ataque direcionou os desenvolvedores JavaScript com e -mails fraudulentos que aparecem para originar de “[email protected]”Um domínio personalizado imitando o legítimo registro da NPM.

As mensagens de phishing alertaram os mantenedores de que suas contas seriam bloqueadas em 10 de setembro, a menos que atualizassem suas credenciais de autenticação de dois fatores através de um link malicioso.

Os invasores comprometeram com sucesso 18 pacotes JavaScript amplamente usados com downloads semanais coletivos superiores a 2,6 bilhões.

As bibliotecas comprometidas incluem ferramentas fundamentais de desenvolvimento, como “giz” (300 milhões de downloads semanais), “Debug” (358 milhões) e “estilos de ANSI” (371 milhões), afetando praticamente todo o ecossistema JavaScript.

Direcionando criptografia

O código malicioso opera como um interceptador baseado em navegador, monitorando o tráfego de rede para transações de criptografia em toda a EthereumAssim, BitcoinAssim, SolanaAssim, TronAssim, Litecoine Bitcoin Cash redes.

Quando os usuários iniciam transferências de criptografia, o malware substitui silenciosamente os endereços da carteira de destino por contas controladas pelo atacante antes da assinatura da transação.

O pesquisador de segurança de Aikido, Charlie Eriksen, explicou:

“O que o torna perigoso é que ele opera em várias camadas: alterar o conteúdo mostrado em sites, adulterar chamadas de API e manipular o que os aplicativos dos usuários acreditam que estão assinando”.

Ledger CTO Charles Guillemet avisou usuários de criptografia sobre o ameaça contínuaAssim, observando o ecossistema JavaScript pode ser comprometido Dadas as figuras massivas de download.

Os usuários de carteira de hardware mantêm proteção se verificar os detalhes da transação antes de assinar, enquanto os usuários da carteira de software enfrentam um risco maior. Guillemet aconselhou:

“Se você não usar uma carteira de hardware, evite fazer transações na cadeia por enquanto.”

Ele também observou a incerteza sobre se os invasores podem extrair diretamente as frases de sementes das carteiras de software.

Direcionamento sofisticado

O ataque representa uma segmentação sofisticada da cadeia de suprimentos, onde os criminosos comprometem a infraestrutura de desenvolvimento confiável para alcançar os usuários finais.

Ao infiltrar pacotes baixados bilhões de vezes semanalmente, os atacantes obtiveram acesso sem precedentes a aplicativos de criptomoeda e interfaces de carteira.

O BleepingComputer identificou a infraestrutura de phishing que exfilita as credenciais de “websocket-api2.publicvm.com”, demonstrando a natureza coordenada da operação.

Este incidente segue comprometeções de biblioteca JavaScript semelhantes ao longo de 2025, incluindo o ataque de julho a “Eslint-Config-Prettier”, que teve 30 milhões de downloads semanais e compromissos de março que afetam dez bibliotecas populares da NPM.