Pacotes npm com 2 bilhões de downloads semanais são hackeados em grande ataque

A Aikido Security registrou o maior ataque npm já registrado, com 18 pacotes como chalk, debug e ansi-styles hackeados para sequestrar carteiras de criptomoedas por meio de código injetado.

A Aikido Security sinalizou o que pode ser o maior comprometimento da cadeia de suprimentos do NPM já registrado. A conta de um mantenedor confiável conhecido como qix foi sequestrada por meio de um e-mail de phishing, e 18 pacotes populares foram alterados com código malicioso. Esses pacotes incluem chalk, debug e ansi-styles, que juntos representam mais de dois bilhões de downloads semanais.

A boa notícia é que o tempo de detecção foi rápido o suficiente para limitar os danos. O pesquisador-chefe de malware do Aikido, Charlie Eriksen, disse que o ataque foi identificado em cinco minutos e divulgado em uma hora.

O que torna este incidente especialmente grave é o propósito do malware injetado. Em vez de visar ambientes de desenvolvimento ou servidores, o código foi projetado para interferir nas transações de criptomoedas no navegador.

Segundo os pesquisadores, ele se conecta à MetaMask , Phantom e outras APIs de carteira, alterando os dados da transação antes mesmo que os usuários assinem. A interface mostra o destinatário correto, mas os fundos são redirecionados para endereços controlados pelo invasor.

O malware também intercepta tráfego de rede e chamadas de aplicativos, reconhece formatos em Ethereum, Bitcoin, Solana, Tron, Litecoin e Bitcoin Cash e, em seguida, os reescreve com endereços falsos convincentes. Como opera tanto no navegador quanto na API, pode fazer com que transferências fraudulentas pareçam legítimas.

A lista completa de pacotes comprometidos é longa, mas alguns dos mais utilizados incluem o Chalk (300 milhões de downloads semanais), o Debug (358 milhões) e o Ansi-Styles (371 milhões). Outros projetos afetados variam de utilitários de baixo nível, como o Is-Arrayish, a bibliotecas de formatação, como o Strip-Ansi.

Para muitos desenvolvedores, esses pacotes são parte da base de aplicativos JavaScript cotidianos, o que significa que versões maliciosas já podem estar em execução em sistemas de produção no mundo todo.

O mantenedor confirmou no Bluesky que sua conta foi invadida após receber um e-mail de phishing de “ [email protected] ”. Quando ele começou a remover os pacotes infectados, o acesso à sua conta havia sido perdido. Alguns pacotes, como o simple-swizzle, permanecem comprometidos até a última atualização.

A análise do Aikido compartilhada com o Hackread.com mostra que o código é altamente intrusivo, modificando funções como fetch , XMLHttpRequest e métodos da API de carteira. Ele altera payloads de transações, aprovações e até mesmo o fluxo de assinatura do Solana, redirecionando ativos sem o conhecimento do usuário. Em termos práticos, isso significa que um desenvolvedor que atualizou um desses pacotes pode estar expondo os usuários ao sequestro de carteira ao interagir com aplicativos Web3 .

Por enquanto, recomenda-se que os desenvolvedores retornem a versões conhecidas e seguras, auditem quaisquer atualizações recentes de pacotes e monitorem as transações de perto caso seus aplicativos interajam com carteiras de criptomoedas. A situação permanece ativa, e o Aikido agora está publicando atualizações em tempo real em seu blog oficial .