Ataque Massivo à Cadeia de Suprimentos do npm Compromete Centenas de Pacotes
Pontos principais
- Hackers usaram um e-mail de phishing para roubar as credenciais de 2FA de um mantenedor.
- Comprometeram quase duas dúzias de pacotes do npm usados em bilhões de downloads semanais.
- Código malicioso (mais de 280 linhas) foi adicionado para redirecionar pagamentos de criptomoedas.
- Pacotes afetados são fundamentais, ampliando o raio de alcance do ataque.
- A empresa de segurança Socket chama a operação de ataque direcionado à cadeia de suprimentos.
Hackers orquestraram o que provavelmente é o maior ataque à cadeia de suprimentos já visto, com 2 bilhões de downloads semanais do npm, comprometendo quase duas dúzias de pacotes de código aberto. A violação começou com um e-mail de phishing que enganou o mantenedor "Qix" em revelar suas credenciais de autenticação de dois fatores.
Visão Geral do Ataque
Pesquisadores de segurança identificaram um ataque coordenado à cadeia de suprimentos que afeta o repositório do npm, que serve mais de 2 bilhões de downloads semanais de código JavaScript. A violação envolveu a inserção de código malicioso em quase duas dúzias de pacotes que são amplamente usados na ecossistema de código aberto.
Como a Intrusão Ocorreu
Os atacantes começaram enviando um e-mail de phishing que parecia vir de um domínio criado para imitar o endereço de suporte oficial do npm. A mensagem alertou o mantenedor, conhecido online como Qix, de que sua conta seria fechada se ele não logasse e atualizasse suas credenciais de autenticação de dois fatores (2FA). Qix caiu no golpe e forneceu suas credenciais, dando aos atacantes acesso à sua conta do npm.
Implantação Rápida de Código Malicioso
Dentro de aproximadamente uma hora após obter acesso, os intrusos fizeram atualizações em dezenas de pacotes sob a responsabilidade de Qix. O código adicionado, que abrange mais de 280 linhas, monitora sistemas infectados em busca de transações de criptomoedas e redireciona automaticamente os pagamentos para carteiras controladas pelos atacantes.
Escopo e Impacto
Os pacotes comprometidos incluem várias bibliotecas fundamentais que são usadas diretamente e indiretamente por milhares de outros pacotes do npm. Como muitos projetos dependem desses componentes principais, as versões maliciosas têm o potencial de afetar um vasto número de aplicações, bibliotecas e frameworks em todo o mundo.
Análise de Especialistas
A empresa de segurança Socket destacou a significativa sobreposição com projetos de alto perfil, notando que os atacantes deliberadamente miraram pacotes para maximizar seu alcance. Os pesquisadores descreveram a operação como um ataque direcionado projetado para explorar a extensa rede de dependência inerente ao desenvolvimento de software moderno.
Consequências Potenciais
Além do risco imediato de roubo de criptomoedas, o incidente destaca a vulnerabilidade das cadeias de suprimentos de código aberto a engenharia social e comprometimento de credenciais. Isso também levanta preocupações sobre a segurança das implementações de 2FA quando os atacantes podem enganar os desenvolvedores por meio de comunicações aparentemente legítimas.