Charles Guillemet, diretor de tecnologia da fabricante de carteiras de hardware Ledger, alertou em X na segunda (NPM) conta.
De acordo com a GuilleMet, o código malicioso – já empurrado para pacotes com mais de 1 bilhão de downloads – foi projetado para trocar silenciosamente endereços da carteira de criptografia em transações. Isso significa que usuários desavisados podem enviar fundos diretamente para o invasor sem perceber.
Guillemet não nomeou o desenvolvedor cuja conta ele disse estar comprometida.
O incidente ressalta o quão profundamente interconectados o software de código aberto é e por que os lapsos de segurança nas ferramentas de desenvolvedor podem se transformar na economia de criptografia quase instantaneamente.
🚨 Há um ataque da cadeia de suprimentos em larga escala em andamento: a conta do NPM de um desenvolvedor respeitável foi comprometida. Os pacotes afetados já foram baixados mais de 1 bilhão de vezes, o que significa que todo o ecossistema JavaScript pode estar em risco.
A carga útil maliciosa funciona…
– Charles Guillemet (@p3b7_) 8 de setembro de 2025
“O NPM é uma ferramenta comumente usada no desenvolvimento de software usando o JavaScript, que facilita a integração de pacotes para os desenvolvedores”, disse Guillemet em uma mensagem para Coindesk. Quando um invasor compromete a conta de um desenvolvedor, ele pode colocar código malicioso em pacotes amplamente usados.
“O código malicioso tenta drenar os usuários trocando endereços usados na transação ou atividade geral na cadeia e substituindo-os pelo endereço do hacker”, acrescentou Guillemet.
Guillemet enfatizou que, se algum aplicativo ou carteira de software descentralizado em qualquer blockchain incluir esses pacotes JavaScript, eles poderiam ser comprometidos e os usuários de criptografia poderiam, portanto, perder seus fundos.
“A única maneira certa de combater isso é usar uma carteira de hardware com uma tela segura que suporta assinatura clara”, disse Guillemet para Condesk. “Isso permitirá que o usuário veja exatamente quais endereços os fundos estão sendo enviados e garantir que eles correspondam aos endereços pretendidos”.
“As carteiras de hardware sem telas seguras e qualquer carteira que não suporta assinatura clara está em alto risco, pois é impossível verificar com precisão que os detalhes da transação estão corretos”, acrescentou.
“É uma oportunidade de lembrar a todos: sempre verifique suas transações, nunca sinal cego, use uma carteira de hardware com uma tela segura e sinalize tudo”, disse Guillemet.
Leia mais: Ledger CTO aborda as críticas ao novo serviço de recuperação da carteira
Fontecoindesk
