Um grande ataque à cadeia de suprimentos de JavaScript envolveu centenas de pacotes de software, incluindo pelo menos 10 amplamente usados no ecossistema de criptomoedas, segundo pesquisa da empresa de cibersegurança Aikido Security.
Em uma postagem na segunda-feira, Charlie Eriksen, pesquisador da Aikido Security, apresentou os nomes de mais de 400 pacotes que apresentavam sinais de infecção com o malware autorreplicante “Shai Hulud”, utilizado no atual ataque à cadeia de suprimentos da biblioteca JavaScript NPM. Eriksen disse que validou cada detecção para evitar falsos positivos.
Muitos pacotes relacionados a criptomoedas envolvem milhares de downloads por semana e possuem muitos outros pacotes que muitos deles para operar. Em uma postagem no X publicada mais cedo na segunda-feira, Eriksen também alertou a equipe do Ethereum Name Service (ENS) que vários de seus pacotes foram afetados.
Shai Hulud faz parte de uma tendência mais ampla de ataques à cadeia de suprimentos. No início de setembro, o maior ataque NPM já registrado fez invasores roubarem US$ 50 milhões em criptomoedas. A Amazon Web Services informou que esse primeiro ataque foi seguido pela dispersão autônoma do worm Shai Hulud uma semana depois.
Enquanto o ataque anterior mirava diretamente criptomoedas para roubo ativo, o Shai Hulud é um malware de roubo de credenciais de uso geral que se espalha autonomamente pela infraestrutura de desenvolvimento. Se o ambiente infectado contiver chaves de carteiras, o malware roubará como “segredos”, assim como qualquer outra credencial.
Slava Demchuk, CEO da empresa de perícia cripto AMLBot, disse ao Cointelegraph que “uma vez que um sistema é infectado, o worm colhe segredos, se replica, torna repositórios privados públicos e continua a se espalhar”. Qualquer sistema em que um pacote comprometido seja instalado pode ser infectado, mas até agora, “não há menção a chaves de carteira ou outros ativos desse tipo”.
“No entanto, se houver segredos sensíveis presentes no ambiente onde os pacotes infectados estão instalados, e esses segredos concedem acesso a outros sistemas, presumem que foram expostos”, alertou Demchuk.
Quais pacotes de criptografia foram afetados?
Entre todos os pacotes afetados, pelo menos 10 estavam especificamente ligados ao setor de criptomoedas, sendo a maioria vinculado ao ENS, um serviço de nomes legíveis por humanos. Entre os pacotes incluídos incluíam o content-hash do ENS, com quase 36.000 downloads semanais e 91 pacotes de software que dependem dele, assim como o address-encoder, com mais de 37.500 downloads semanais.
Outros pacotes do ENS abordados incluem ensjs (mais de 30.000 downloads semanais), ens-validation (1.750 downloads semanais), ethereum-ens (12.650 downloads semanais) e ens-contracts (quase 3.100 downloads semanais). Um pacote relacionado a criptomoedas não vinculadas ao ENS, chamado crypto-addr-codec, também foi comprometido, com quase 35.000 downloads.
Pacotes populares não relacionados a criptografia afetada
Os pacotes não relacionados a criptografias afetadas incluem alguns oferecidos pela plataforma corporativa de automação Zapier, incluindo um com mais de 40.000 downloads por semana e muitos outros próximos desse número. Em uma postagem subsequente, Eriksen incluiu outros pacotes infectados, alguns com quase 70.000 downloads semanais, e outros ultrapassando 1,5 milhão de downloads por semana.
“O alcance desse novo ataque Shai Hulud é francamente massivo; ainda estamos trabalhando na fila para confirmar tudo”, escreveu Eriksen no X.
“Ele fará o ataque anterior parecer nada.”
Pesquisadores da empresa de cibersegurança Wiz afirmam ter “identificado mais de 25.000 repositórios afetados entre cerca de 350 usuários únicos, com 1.000 novos repositórios sendo adicionados consistentemente a cada 30 minutos nas últimas horas”. A empresa recomenda “investigação e remediação imediata” para qualquer ambiente que utilize npm.
Fontecointelegraph
