Um ataque direcionado atinge o ecossistema JavaScript através de módulos NPM amplamente utilizados. Ao comprometer a conta de um programador conceituado, os atacantes injetam um malware capaz de alterar os endereços de receção criptográfica em tempo real, expondo os utilizadores a um risco elevado de roubo durante transações on-chain.
O que está a acontecer? Um malware está a desviar as suas endereços criptográficos
Um ataque à cadeia de abastecimento, ou seja, aos componentes, bibliotecas, ferramentas e serviços utilizados pelos programadores, de uma magnitude sem precedentes está atualmente a atingir todo o ecossistema JavaScript e, por extensão, o das criptomoedas.
De facto, a conta NPM do programador «qix», mantenedor de várias bibliotecas populares, foi recentemente comprometida.
Resultado: versões maliciosas foram publicadas para pacotes (pequenos módulos de código reutilizáveis) muito utilizados, como «chalk», «strip-ansi», «color-convert», «error-ex» ou ainda «is-core-module».
Com várias centenas de milhões de downloads semanais acumulados, esses pacotes agora estariam muito difundidos no ecossistema Node.js, afetando milhares de projetos.
🚨 Há um ataque em grande escala à cadeia de abastecimento em andamento: a conta NPM de um desenvolvedor respeitável foi comprometida. Os pacotes afetados já foram baixados mais de 1 bilhão de vezes, o que significa que todo o ecossistema JavaScript pode estar em risco.
A carga maliciosa funciona…
— Charles Guillemet (@P3b7_) 8 de setembro de 2025
Embora a situação pareça catastrófica à primeira vista, este ataque afeta apenas os sites que publicaram uma atualização após a comprometimento do pacote NPM em questão. Os projetos que ainda não fizeram a atualização continuam a utilizar a versão anterior não comprometida.
O malware injetado seria um «cripto-clipper» sofisticado:
- Ele intercepta as suas solicitações de rede e transações em criptomoedas;
- Deteta endereços Bitcoin, Ethereum, Solana, etc. nos dados,
- E substitui-os discretamente pelos endereços do atacante.
Isso significa que, mesmo que acredite estar a enviar fundos para um endereço legítimo, o malware pode alterá-lo no seu navegador ou telefone no último segundo.
O código opera em vários níveis: ele manipula o conteúdo exibido nos sites, as respostas das APIs e o que as suas aplicações acreditam estar a assinar. Isso torna o ataque particularmente perigoso para aqueles que não usam carteiras de hardware (hardware wallet).
Como se proteger?
Se utiliza uma carteira de hardware (Ledger, Trezor, etc.): está protegido desde que verifique cuidadosamente se o endereço no ecrã da carteira (e não no seu telemóvel ou computador) está correto antes de assinar.
Se utiliza uma carteira de software ou até interage com contratos inteligentes: suspenda imediatamente todas as transações na cadeia.
É melhor esperar que a situação volte ao normal para retomar a sua atividade
Um parceiro da SwissBorg sofreu um incidente que resultou na perda de 193 000 SOL
Embora ainda não possamos saber se essas duas histórias estão relacionadas, a plataforma de câmbio SwissBorg declarou recentemente ter identificado uma falha relacionada à API do seu parceiro Kiln, afetando o seu programa «SOL Earn» em cerca de 193 000 SOL, ou seja, menos de 1% dos seus utilizadores.
De acordo com a empresa, a aplicação continua segura e utilizável. A SwissBorg mobilizou imediatamente o seu tesouro em SOL para compensar as perdas e já teria começado a trabalhar com especialistas em cibersegurança para recuperar os fundos roubados. Os utilizadores afetados devem ser contactados por e-mail em breve.
