Axios, uma das bibliotecas JavaScript mais populares, pode estar comprometida e envolvida num ataque a carteiras de criptomoedas. O ataque ao pacote npm está a tornar-se mais comum, atacando diretamente projetos, programadores e utilizadores finais.
Um pacote npm Axios foi publicado na biblioteca JavaScript oficial e removido apenas horas depois. Especialistas em segurança on-chain intercetaram o ataque, que esteve ativo durante cerca de três horas.
Os pacotes npm foram comprometidos através das credenciais de @jasonsaayman, enquanto os investigadores ainda procuravam sinais de que a conta tinha sido comprometida. Os pacotes afetados foram identificados como [email protected] e [email protected].
Como a Cryptopolitan reportou anteriormente, os ataques npm frequentemente visam carteiras de criptomoedas e são especialmente arriscados para projetos descentralizados com grandes participações de equipa.
O que aconteceu no ataque npm Axios?
StepSecurity foi uma das primeiras a identificar o problema. Duas versões maliciosas da biblioteca cliente HTTP Axios foram publicadas através das credenciais comprometidas de um mantenedor principal do Axios, contornando o pipeline de publicação normal no GitHub.
De acordo com a StepSecurity, este foi o ataque mais sofisticado contra um pacote npm top-10 amplamente utilizado. A versão maliciosa do pacote injeta uma nova dependência, [email protected], que não é importada no código-fonte do axios. A dependência executa um script pós-instalação, ativo em todos os sistemas operativos.
Após usar o npm, o cliente é infetado com um trojan de acesso remoto, que tem um servidor ativo e entrega as cargas úteis. O malware também se elimina a si próprio e substitui o .json suspeito por uma versão limpa para evitar deteção.
Que tipos de projetos foram afetados?
Os pacotes npm estavam entre os mais populares, com até 100 milhões de descarregamentos semanais. No entanto, neste momento, não há relatos de movimentação não autorizada de criptomoedas. Anteriormente, um ataque npm levou a apenas 1.000 $ de perdas de cripto de tokens obscuros.
A única forma de limitar npm malicioso é rastrear versões e não permitir atualizações automáticas, ou verificar novas versões quanto a potenciais carregamentos maliciosos.
Os investigadores também descobriram dois pacotes maliciosos adicionais que entregavam cargas úteis da mesma forma – @shadanai/openclaw e @qqbrowser/openclaw-qbot. O ataque segue-se à injeção de código malicioso LiteLLM por apenas uma semana.
Não há relato de projetos Web3 ou OpenClaw serem afetados ou qualquer cripto roubada, durante a duração do ataque. No entanto, foram emitidos avisos de que os ataques npm podem agora tornar-se a norma, seja através de credenciais roubadas ou editores não autorizados. A ameaça segue avisos anteriores sobre código malicioso usando a plataforma de competências OpenClaw.
Os pacotes não estão limitados a projetos Web3 ou bot, e podem afetar quaisquer cargas úteis ligadas a carteiras de criptomoedas. A perda de confiança nas instalações npm e pip para Python pode também erosionar a confiança geral no ecossistema de bibliotecas, com apelos para um caminho de carregamento mais seguro.
O uso de agentes de IA pode também levar ao descarregamento indiscriminado de pacotes, espalhando a ameaça. Os efeitos reais nas carteiras de criptomoedas podem não ser imediatos, mas ainda assim expõem potencialmente dados da carteira.
O seu banco está a usar o seu dinheiro. Está a receber as sobras. Veja o nosso vídeo gratuito sobre como tornar-se o seu próprio banco
Fonte: https://www.cryptopolitan.com/supply-chain-attack-axios-crypto-wallets/
