Notas Principais
- Código malicioso foi injetado em pacotes @ensdomains entre 21 e 23 de novembro, visando credenciais de desenvolvedores em GitHub, npm e serviços de nuvem.
- O ataque se espalhou por meio de contas de mantenedores comprometidas, executando-se automaticamente durante comandos padrão de instalação.
- Os pacotes afetados incluem gate-evm-check-code2, create-hardhat3-app, ethereum-ens e mais de 40 bibliotecas do escopo @ensdomains.
Pacotes de software do Ethereum Name Service ENS $11.61 volatilidade 24h: 4,0% Valor de mercado: $439.48 M Vol. 24h: $72.23 M foram comprometidos em um ataque cibernético à cadeia de suprimentos que afetou mais de 400 bibliotecas de código no npm, uma plataforma onde desenvolvedores compartilham e baixam ferramentas de software. ENS Labs afirmou que ativos de usuários e nomes de domínio parecem não ter sido afetados.
A equipe detectou que pacotes começando com @ensdomains foram afetados por volta das 5:49 UTC em 24 de novembro e, desde então, atualizou as versões dos pacotes enquanto alterava as credenciais de segurança, de acordo com ENS Labs. Sites operados pela ENS, incluindo app.ens.domains, não apresentaram sinais de impacto.
Identificámos que certos pacotes npm começando com @ensdomains publicados por volta das 5:49am UTC hoje podem ter sido afetados por um ataque à cadeia de suprimentos Sha1-Hulud que comprometeu mais de 400 bibliotecas NPM, incluindo vários pacotes ENS.
A equipe atualizou todas as tags mais recentes e está…
— ens.eth (@ensdomains) 24 de novembro de 2025
O ataque também comprometeu pacotes da Zapier, PostHog, Postman e AsyncAPI, de acordo com a Aikido Security, que detectou a campanha pela primeira vez em 24 de novembro.
Pacotes Cripto Entre as Vítimas
Diversas bibliotecas de desenvolvimento blockchain foram atingidas pelo ataque em larga escala. Os pacotes afetados incluem gate-evm-check-code2 e evm-checkcode-cli, usados para verificação de bytecode de smart contracts, create-hardhat3-app para scaffolding de projetos Ethereum ETH $2 964 volatilidade 24h: 4,8% Valor de mercado: $357.84 B Vol. 24h: $32.76 B, e coinmarketcap-api para integração de dados de preços.
Outras bibliotecas cripto afetadas incluem ethereum-ens e crypto-addr-codec, que lida com a codificação de endereços de criptomoedas. Mais de 40 pacotes dentro do escopo @ensdomains foram comprometidos.
O incidente lembra uma backdoor descoberta em pacotes do XRP Ledger em abril, onde código malicioso foi injetado no xrpl.js para roubar chaves privadas.
Como Funciona o Ataque
Pacotes maliciosos foram carregados no npm entre 21 e 23 de novembro. O malware se propaga comprometendo contas de mantenedores e injetando código em seus pacotes. Ele é executado automaticamente quando desenvolvedores executam comandos padrão de instalação.
O malware coleta senhas de desenvolvedores e tokens de acesso do GitHub, npm e principais serviços de nuvem. Ele publica os dados roubados em repositórios públicos do GitHub e cria pontos de acesso ocultos em máquinas infectadas para futuros ataques.
Uma pesquisa no GitHub mostra que 26.300 repositórios agora contêm credenciais roubadas, espalhadas por cerca de 350 contas comprometidas. O número continua crescendo à medida que o ataque permanece ativo.
Pesquisadores da Koi Security descobriram uma ameaça adicional. Se o malware não conseguir roubar credenciais ou enviar dados, ele apaga todos os arquivos no diretório home do usuário.
Resposta dos Desenvolvedores
ENS Labs declarou que desenvolvedores que não instalaram pacotes ENS dentro de 11 horas após a detecção às 5:49 UTC provavelmente não foram afetados. Aqueles que instalaram durante esse período devem excluir suas pastas node_modules, limpar o cache do npm e alterar todas as credenciais.
O incidente segue uma série de violações de segurança cripto que testaram projetos de infraestrutura este ano. O GitHub está removendo ativamente repositórios criados por atacantes, embora novos continuem a aparecer.
next
