Os 20 pacotes npm mais populares com 2 bilhões de downloads semanais foram comprometidos em ataque à cadeia de suprimentos

Em um ataque massivo à cadeia de suprimentos de software, hackers comprometeram 20 pacotes populares da plataforma npm, afetando milhões de desenvolvedores em todo o mundo. A invasão, que teve como alvo principal as contas de dois mantenedores, foi usada para disseminar um malware focado em roubar criptomoedas.

O ataque começou com um sofisticado golpe de phishing contra Josh Junon (conhecido como Qix), co-mantenedor de vários pacotes npm. Junon recebeu um e-mail falso se passando pelo suporte do npm, que o instruía a atualizar suas credenciais de autenticação de dois fatores (2FA).

Ao clicar no link, ele foi levado a uma página que, por meio de um ataque Adversário no Meio (AitM), roubou seu nome de usuário, senha e token de 2FA. Com o acesso obtido, os invasores publicaram versões maliciosas dos pacotes no repositório.

Junon expressou seu arrependimento em uma postagem na rede social Bluesky: "Sinto muito a todos, eu deveria ter prestado mais atenção", disse. "Não foi como eu; tive uma semana estressante. Vou trabalhar para resolver isso."

Uma análise detalhada do código malicioso ofuscado revelou seu objetivo: interceptar transações de criptomoedas e substituir o endereço da carteira de destino por um endereço controlado pelos hackers. Segundo Charlie Eriksen, da Aikido Security, o payload funciona como um interceptador no navegador, sequestrando o tráfego e as APIs para reescrever solicitações e respostas.

"O payload começa verificando se está sendo executado em um navegador", explicou a empresa de segurança Socket. "Em seguida, ele se conecta a APIs de provedores de carteira como window.fetch, XMLHttpRequest e window.ethereum.request, entre outras."

O malware não ataca diretamente os desenvolvedores, mas sim os usuários finais que visitam sites que utilizam os pacotes comprometidos. No entanto, se um desenvolvedor abre um site afetado e tem uma carteira de criptomoedas conectada, ele também se torna uma vítima.

Ataques a ecossistemas de pacotes como npm e Python Package Index (PyPI) são cada vez mais comuns. De acordo com o Relatório de Segurança da Cadeia de Suprimentos de Software de 2025 da ReversingLabs, o npm foi o alvo de 14 das 23 campanhas maliciosas de roubo de criptomoedas em 2024.

"O que estamos vendo acontecer com os pacotes npm é, infelizmente, um caso comum hoje na cadeia de suprimentos de software", afirmou Ilkka Turunen, CTO da Sonatype. "Ao assumir o controle de pacotes populares de código aberto, os invasores podem roubar dados sigilosos, deixar backdoors e se infiltrar em organizações."

Mirar em um mantenedor de pacotes tão amplamente utilizados não foi uma escolha aleatória. Grupos hackers com técnicas avançadas, como o Lazarus, sabem que, ao comprometer um único projeto, podem atingir uma vasta população de desenvolvedores e, consequentemente, uma infinidade de sistemas. O ataque a Junon também comprometeu outro mantenedor de alto perfil, identificado como duckdb_admin, que foi usado para distribuir o mesmo tipo de malware.

Ataques de engenharia social, como o phishing, e o comprometimento de contas se mostram uma ameaça contínua. Para mitigar o risco, especialistas recomendam que os desenvolvedores reforcem seus pipelines de integração contínua e entrega contínua (CI/CD) e adotem uma vigilância constante sobre as dependências de seus projetos.

Via - THN