Notas Principais
- Código malicioso injetado em pacotes @ensdomains entre 21 e 23 de novembro teve como alvo credenciais de desenvolvedores em GitHub, npm e serviços em nuvem.
- O ataque se espalhou por meio de contas de mantenedores comprometidas, executando-se automaticamente durante comandos padrão de instalação.
- Os pacotes afetados incluem gate-evm-check-code2, create-hardhat3-app, ethereum-ens e mais de 40 bibliotecas do escopo @ensdomains.
Pacotes de software do Ethereum Name Service ENS $11,61 volatilidade 24h: 4,0% Valor de mercado: $439,48 M Vol. 24h: $72,23 M foram comprometidos em um ataque cibernético à cadeia de suprimentos que afetou mais de 400 bibliotecas de código no npm, uma plataforma onde desenvolvedores compartilham e baixam ferramentas de software. ENS Labs afirmou que os ativos dos usuários e nomes de domínio parecem não ter sido afetados.
A equipe detectou que pacotes começando com @ensdomains foram afetados por volta das 5h49 UTC em 24 de novembro e, desde então, atualizou as versões dos pacotes enquanto alterava as credenciais de segurança, de acordo com ENS Labs. Sites operados pela ENS, incluindo app.ens.domains, não apresentaram sinais de impacto.
Identificamos que certos pacotes npm começando com @ensdomains publicados por volta das 5h49 UTC hoje podem ter sido afetados por um ataque à cadeia de suprimentos Sha1-Hulud que comprometeu mais de 400 bibliotecas NPM, incluindo vários pacotes ENS.
A equipe atualizou todas as tags mais recentes e está…
— ens.eth (@ensdomains) 24 de novembro de 2025
O ataque também comprometeu pacotes do Zapier, PostHog, Postman e AsyncAPI, de acordo com a Aikido Security, que detectou a campanha pela primeira vez em 24 de novembro.
Pacotes Cripto Entre as Vítimas
Diversas bibliotecas de desenvolvimento blockchain foram atingidas no amplo ataque. Os pacotes afetados incluem gate-evm-check-code2 e evm-checkcode-cli, usados para verificação de bytecode de smart contracts, create-hardhat3-app para scaffolding de projetos Ethereum ETH $2.964 volatilidade 24h: 4,8% Valor de mercado: $357,84 B Vol. 24h: $32,76 B, e coinmarketcap-api para integração de dados de preços.
Outras bibliotecas cripto afetadas incluem ethereum-ens e crypto-addr-codec, que lida com codificação de endereços de criptomoedas. Mais de 40 pacotes dentro do escopo @ensdomains foram comprometidos.
O incidente lembra uma backdoor descoberta em pacotes do XRP Ledger em abril, onde código malicioso foi injetado no xrpl.js para roubar chaves privadas.
Como o Ataque Funciona
Pacotes maliciosos foram enviados ao npm entre 21 e 23 de novembro. O malware se propaga comprometendo contas de mantenedores e injetando código em seus pacotes. Ele é executado automaticamente quando desenvolvedores executam comandos padrão de instalação.
O malware coleta senhas de desenvolvedores e tokens de acesso do GitHub, npm e principais serviços em nuvem. Ele publica os dados roubados em repositórios públicos do GitHub e cria pontos de acesso ocultos em máquinas infectadas para ataques futuros.
Uma busca no GitHub mostra que 26.300 repositórios agora contêm credenciais roubadas, espalhadas por cerca de 350 contas comprometidas. O número continua crescendo enquanto o ataque permanece ativo.
Pesquisadores da Koi Security descobriram uma ameaça adicional. Se o malware não conseguir roubar credenciais ou enviar dados, ele apaga todos os arquivos no diretório pessoal do usuário.
Resposta dos Desenvolvedores
ENS Labs declarou que desenvolvedores que não instalaram pacotes ENS dentro de 11 horas após a detecção às 5h49 UTC provavelmente não foram afetados. Aqueles que instalaram durante esse período devem deletar suas pastas node_modules, limpar o cache do npm e alterar todas as credenciais.
O incidente segue uma série de violações de segurança cripto que testaram projetos de infraestrutura este ano. O GitHub está removendo ativamente repositórios criados por atacantes, embora novos continuem a aparecer.
next
