As faixas de usuários de criptografia podem estar em risco de roubar seus fundos após a descoberta de pacotes de código JavaScript comprometidos, alertou o CTO Charles Guillemet na segunda -feira.
NPM é um gerente de pacote de destaque para JavaScript e GuilleMet disse Em X, o ecossistema de toda a linguagem de programação poderia ser vulnerável depois que a conta de um desenvolvedor respeitável foi comprometida, potencialmente espalhando uma carga útil maliciosa para vários sites.
“A carga útil maliciosa funciona trocando silenciosamente endereços de criptografia em tempo real para roubar fundos”, disse ele, acrescentando que pacotes comprometidos foram baixados mais de 1 bilhão de vezes. Guillemet acrescentou que os fundos em “potencialmente todas as cadeias” podem ser vulneráveis à exploração.
“Eu recomendo fortemente não assinar nenhuma transação de cripto avisadoobservando que “vários sites de criptografia” podem ser vulneráveis.
A empresa de segurança da blockchain Blobaid disse em X que o compromisso afeta cerca de duas dúzias de pacotes populares, como “nome de cores” e “cordão de cores”. O NPM hospeda pacotes de código reutilizável que os usuários podem integrar em seus projetos, que são escritos por outros.
“Ele altera o endereço de destino das transações e aprovações para serem os endereços do invasor, e não o endereço com o qual você está realmente tentando interagir”, explicou Cygaar.
Mais tarde, o NPM pareceu desativar os pacotes comprometidos, acrescentou Cygaar. No entanto, ele incentivou os desenvolvedores a ainda verificar suas dependências, observando que eles poderiam baixar um pacote comprometido antes que a alteração fosse feita.
O sentimento foi ecoado pelo autor de um post que a GuilleMet vinculou em X, que afirmou que eles estão “trabalhando ativamente com a equipe de segurança do NPM para resolver o problema” e que o código malicioso foi removido da maioria das páginas da web afetadas.
O autor disse que a conta da NPM impactada foi chamada de “Qix”, e o patch malicioso impactou “alguns dos utilitários mais fundamentais do JavaScript” que são usados como blocos de construção para inúmeros projetos.
Nota do editor: esta história está quebrando e será atualizada com contexto adicional.
Debrie diário Boletim informativo
Comece todos os dias com as principais notícias agora, além de recursos originais, um podcast, vídeos e muito mais.
