Nova Invasão de NPM Gera Preocupações na Comunidade JavaScript
Uma nova onda de infecções no NPM levantou preocupações em toda a comunidade JavaScript, à medida que o malware Shai Hulud continua a se espalhar por centenas de bibliotecas de software. A Aikido Security confirmou que mais de 400 pacotes NPM foram comprometidos, incluindo pelo menos 10 amplamente utilizados no ecossistema de criptomoedas.
A extensão do problema coloca os desenvolvedores sob pressão imediata para avaliar os riscos, especialmente aqueles que trabalham com ferramentas e aplicações baseadas em blockchain.
Detalhes das Infecções
A divulgação ocorreu na segunda-feira, quando a Aikido Security lançou uma lista detalhada das bibliotecas contaminadas após uma revisão de comportamentos incomuns no NPM. Um post separado do pesquisador Charles Eriksen também ressaltou a lista de infecções no X, chamando atenção para os principais pacotes do ENS envolvidos no incidente.
As infecções parecem estar ligadas a um ataque ativo à cadeia de suprimentos que vem se desenrolando nas últimas semanas, adicionando impulso a um padrão crescente de incidentes de segurança na infraestrutura JavaScript.
Ameaça Se Expande Além dos Atacantes do NPM Anteriores
O aumento das infecções segue uma violação significativa do NPM no início de setembro, que resultou no roubo de 50 milhões de dólares em criptomoeda, tornando-se um dos maiores incidentes de cadeia de suprimentos ligados diretamente ao furto de ativos digitais. Segundo a Amazon Web Services, o ataque foi seguido, em uma semana, pelo surgimento do Shai Hulud, que começou a se espalhar autonomamente por projetos.
Enquanto o incidente inicial de setembro visava diretamente ativos em criptomoedas, o Shai Hulud opera de maneira diferente. O malware busca coletar credenciais de qualquer ambiente que faça o download de um pacote infectado e, caso chaves de wallets estejam presentes, elas são tratadas como qualquer outro segredo e extraídas. Esta mudança de comportamento amplia o alcance do novo incidente.
Em vez de visar um único objetivo, o malware se integra aos fluxos de trabalho dos desenvolvedores e se propaga por cadeias de dependências, aumentando as chances de exposição acidental em projetos tanto de criptomoedas quanto não relacionados.
Pacotes ENS Fortemente Afetados
Os pacotes de criptomoedas afetados na última revisão mostram uma clara concentração em torno do ecossistema do Ethereum Name Service (ENS). Várias bibliotecas relacionadas ao ENS, muitas com dezenas de milhares de downloads semanais, aparecem na lista comprometida, incluindo content-hash, address-encoder, ensjs, ens-validation, ethereum-ens e ens-contracts.
Para apoiar as descobertas, Eriksen compartilhou um post detalhado no X, delineando os pacotes ENS comprometidos. Logo após, uma segunda atualização no X de Eriksen ampliou a discussão sobre a disseminação mais ampla de infecções afetando repositórios adicionais.
Cada pacote ENS suporta funções usadas em interfaces de wallet, aplicações blockchain e ferramentas que convertem nomes legíveis para humanos em formatos legíveis por máquinas. Sua popularidade indica que o impacto pode se estender além dos mantenedores diretos para desenvolvedores dependentes que rely on them for core operations.
Uma outra biblioteca de criptomoeda, crypto-addr-codec, também foi identificada entre os pacotes comprometidos. Embora não esteja relacionada ao ENS, é utilizada em processos de wallets e possui alto tráfego semanal, tornando sua contaminação uma prioridade adicional para revisões de segurança.
Impacto Crescente em Software Não Relacionado a Criptomoedas
A disseminação não se limita apenas a ferramentas de ativos digitais. Várias bibliotecas não ligadas a criptomoedas também foram impactadas, incluindo pacotes associados à plataforma de automação de fluxo de trabalho Zapier. Alguns desses relatam downloads semanais bem acima de 40 mil, indicando que o malware alcançou partes do ecossistema JavaScript não relacionadas à atividade em blockchain.
Bibliotecas adicionais destacadas em posts posteriores mostram níveis de distribuição ainda mais elevados, com um pacote alcançando quase 70 mil downloads semanais. Outro registrou tráfego semanal superior a um milhão e quinhentos mil, refletindo um impacto muito maior do que sugeriam os primeiros relatórios.
A rápida expansão atraiu a atenção de outras equipes de segurança. Pesquisadores da Wiz afirmaram ter identificado mais de 25 mil repositórios afetados ligados a cerca de 350 usuários. Eles também notaram que mil novos repositórios estavam sendo adicionados a cada trinta minutos nos estágios iniciais da investigação. Este nível de crescimento demonstra como a contaminação da cadeia de suprimentos pode acelerar rapidamente quando pacotes se replicam através de redes de dependência.
Desenvolvedores que trabalham com NPM foram aconselhados a realizar verificações imediatas, validando ambientes e escaneando possíveis exposições. Com cadeias de dependências interligadas em múltiplos setores, até equipes fora do setor de criptomoedas podem, sem querer, integrar pacotes infectados.
Fonte: coinjournal.net
