Bitcoin em sinal de alerta.
Charles Guillemet, diretor de tecnologia da Ledger, publicou nesta segunda-feira (8) um aviso em suas redes sociais sobre o andamento de um ataque em larga escala na cadeia de suprimentos de software.
Como recomendação aos usuários de carteiras de hardware, o executivo afirmou que investidores devem prestar atenção ao assinar transações. Para quem não usa essas carteiras, ele recomendou evitar fazer qualquer transação de criptomoedas por enquanto.
“Ainda não está claro se o invasor também está roubando seeds de carteiras de software diretamente neste estágio”, comentou Guillemet.
Questionado sobre qual criptomoeda teria sido afetada por esse ataque, Charles Guillemet, CTO da Ledger, escreveu “potencialmente todas as chains”. Ao final de seu tuíte, o executivo publicou um link para uma página que explica detalhadamente a situação.
Escrito por JD Staerk, o artigo aponta que um popular pacote chamado ‘npm error-ex’, com 47 milhões de downloads semanais, foi comprometido.
“É um “crypto-clipper” que rouba criptomoedas ao sequestrar requisições de rede e transações de carteiras, substituindo os endereços dos destinatários pelos do atacante.”
“É um pacote utilitário pequeno, com apenas uma linha, escondido nas dependências de milhares de projetos pelo mundo”, escreveu JD. “É o tipo de pacote que você herda sem nunca saber que existe. E por um curto período, ele foi comprometido, transformando seu alcance massivo em uma bomba-relógio para uma parte significativa do ecossistema JavaScript.”
Do ponto de vista técnico, a versão 1.3.3 dessa dependência busca carteiras de criptomoedas em navegadores e intercepta todas as requisições dos sites visitados.
O segundo passo do ataque é substituir os endereços das vítimas por outros que se pareçam com os seus.
O texto aponta que uma determinada função contém listas enormes de endereços usados para este fim, incluindo de redes como Bitcoin, Ethereum, Solana, Tron, Litecoin e Bitcoin Cash, outra mostra da amplitude do ataque.
“Quando uma requisição interceptada contém dados, o código busca strings que pareçam endereços de criptomoedas”, explicou JD. “Se encontrar, substitui pelo endereço do atacante mais parecido visualmente (usando o algoritmo de distância de Levenshtein). Isso dificulta que a vítima perceba a troca.”
Dado que os caracteres iniciais e finais podem ser idênticos, a vítima acaba assinando a transação e perdendo seus fundos. A mesma estratégia é usada em golpes de endereço contaminado.
Nas redes sociais, o desenvolvedor Josh Junon revelou ter caído em um golpe de phishing. Nos comentários, é notado que alguns repositórios continuam infectados, o que pode aumentar a escala do ataque.
“Sim, fui hackeado. O e-mail de redefinição de 2FA parecia muito legítimo. Somente o NPM foi afetado”, escreveu Junon, também conhecido como ‘qix’. “Desculpem, pessoal, eu deveria ter prestado mais atenção. Não é meu jeito; tive uma semana estressante. Vou trabalhar para resolver isso.”
Voltando a Charles Guillemet, o diretor de tecnologia da Ledger recomenda que usuários tomem cuidado ao realizar transações até que o problema seja totalmente resolvido.
“Se você usa uma carteira de hardware, preste atenção a cada transação antes de assinar e estará seguro”, escreveu Guillemet. “Se você não usa uma carteira de hardware, evite fazer qualquer transação on-chain por enquanto.”
Apesar da dimensão do ataque, não há informações sobre vítimas até o fechamento desta redação.
Comentários