Grande ataque de software coloca em risco todas as transações de criptomoedas

Um grande ataque cibernético abalou o ecossistema global de software e colocou milhões de usuários de criptomoedas em risco. Hackers sequestraram a conta de um desenvolvedor popular no npm, a plataforma que alimenta grande parte da web, e inseriram atualizações maliciosas em bibliotecas de código amplamente utilizadas.

Essas bibliotecas estão profundamente integradas em inúmeros aplicativos e sites. Juntas, são baixadas mais de 1 bilhão de vezes por semana. Essa escala faz deste um dos maiores comprometimentos de cadeia de suprimentos de software já vistos.

Um Novo Malware Mirando Transações de Criptomoedas

O código malicioso tem como alvo transações de criptomoedas. Ele atua de duas maneiras.

Primeiro, se nenhuma carteira for detectada, o malware procura por endereços de cripto dentro de um site e os substitui por endereços controlados pelo atacante. 

Ele utiliza truques inteligentes para trocá-los por endereços visualmente quase idênticos. Isso facilita para que os usuários não percebam a troca.

NÃO USE SUA CARTEIRA DE CRIPTOMOEDAS a menos que tenha certeza de que ela não foi afetada pelo Hack de Javascript no NPM. Pelo código que revisei, parece que o alvo são carteiras baseadas em navegador como a metamask, interceptando métodos do navegador como fetch e XMLHttpRequest. O código escolhe…

— Scott Emick 🇺🇸 (@semick) 8 de setembro de 2025

Segundo, se uma carteira como MetaMask estiver presente, o código altera ativamente as transações. 

Quando um usuário se prepara para enviar fundos, o malware intercepta os dados e substitui o destinatário pelo endereço do atacante. Se o usuário assinar sem verificar cuidadosamente, seu dinheiro será perdido.

Todo Usuário de Cripto Pode Estar em Risco

O ataque começou quando a conta npm do desenvolvedor conhecido como Qix foi comprometida. Os hackers então publicaram novas versões de dezenas de seus pacotes, incluindo as utilidades principais mencionadas acima.

Desenvolvedores que atualizaram seus projetos puxaram automaticamente essas versões contaminadas. Qualquer site ou aplicação descentralizada que as implantou pode ter exposto seus usuários sem saber.

A violação só foi descoberta depois que um erro de build chamou a atenção para um código estranho e ilegível dentro de um dos pacotes atualizados. 

Especialistas em segurança descobriram depois que se tratava de um sofisticado “crypto-clipper” projetado para redirecionar fundos silenciosamente.

A ameaça é especialmente séria para quem faz transações por meio de um navegador web. Se você copiou um endereço de um site, ou assinou uma transferência sem verificar, pode estar em risco.

O Diretor de Tecnologia da Ledger emitiu um alerta severo nas redes sociais.

🚨 Está em andamento um ataque de cadeia de suprimentos em larga escala: a conta NPM de um desenvolvedor respeitável foi comprometida. Os pacotes afetados já foram baixados mais de 1 bilhão de vezes, o que significa que todo o ecossistema JavaScript pode estar em risco. O payload malicioso funciona…

— Charles Guillemet (@P3b7_) 8 de setembro de 2025

O Que Você Deve Fazer Agora

Especialistas recomendam várias medidas urgentes para todos os detentores de criptomoedas:

• Verifique os endereços: Sempre leia o endereço completo na tela de confirmação da sua carteira ou dispositivo de hardware antes de assinar.
• Pare as atividades se estiver em dúvida: Se você usa uma carteira baseada em navegador ou software, considere pausar as transações até que mais informações estejam disponíveis.
• Verifique as atividades recentes: Revise transferências e aprovações passadas. Se notar algo suspeito, revogue as aprovações e mova os fundos para uma nova carteira.
• Use transações de teste: Ao enviar para um novo endereço, transfira uma pequena quantia primeiro para confirmar que chegou com segurança.
• Confie em carteiras de hardware: Dispositivos que exibem detalhes da transação em uma tela separada continuam sendo a opção mais segura.

O ataque mostra o quão frágil pode ser a confiança no ecossistema de software open-source. Uma única conta de desenvolvedor comprometida permitiu que hackers inserissem código perigoso em bilhões de downloads.

Este incidente ainda está em andamento. As versões maliciosas estão sendo removidas, mas algumas podem permanecer online por dias ou semanas. A abordagem mais segura é a vigilância.

Se você usa cripto, verifique cada transação com atenção. Uma olhada extra no endereço na sua carteira pode ser a diferença entre segurança e roubo.