Grande ataque de software coloca em risco todas as transações de criptomoedas

Um grande ataque cibernético abalou o ecossistema global de software e colocou milhões de usuários de criptomoedas em risco. Hackers sequestraram a conta de um desenvolvedor popular no npm, a plataforma que alimenta grande parte da web, e inseriram atualizações maliciosas em bibliotecas de código amplamente utilizadas.

Essas bibliotecas estão profundamente integradas em inúmeros aplicativos e sites. Juntas, são baixadas mais de 1 bilhão de vezes a cada semana. Essa escala faz deste um dos maiores comprometimentos de cadeia de suprimentos de software já vistos.

Um Novo Malware Mirando Transações de Criptomoedas

O código malicioso tem como alvo transações de criptomoedas. Ele atua de duas maneiras.

Primeiro, se nenhuma carteira for detectada, o malware procura por endereços de criptomoedas dentro de um site e os substitui por endereços controlados pelo invasor. 

Ele utiliza truques inteligentes para trocá-los por endereços visualmente quase idênticos. Isso facilita para que os usuários não percebam a troca.

NÃO USE SUA CARTEIRA DE CRIPTOMOEDAS a menos que tenha certeza de que ela não foi afetada pelo Hack Javascript do NPM. Pelo código que analisei, parece que o alvo são carteiras baseadas em navegador como a metamask, interceptando métodos do navegador como fetch e XMLHttpRequest. O código escolhe…

— Scott Emick 🇺🇸 (@semick) 8 de setembro de 2025

Segundo, se uma carteira como a MetaMask estiver presente, o código altera ativamente as transações. 

Quando um usuário se prepara para enviar fundos, o malware intercepta os dados e substitui o destinatário pelo endereço do invasor. Se o usuário assinar sem verificar cuidadosamente, seu dinheiro será perdido.

Todo Usuário de Criptomoedas Pode Estar em Risco

O ataque começou quando a conta npm do desenvolvedor conhecido como Qix foi comprometida. Os hackers então publicaram novas versões de dezenas de seus pacotes, incluindo as utilidades principais mencionadas acima.

Desenvolvedores que atualizaram seus projetos puxaram automaticamente essas versões contaminadas. Qualquer site ou aplicação descentralizada que as implantou pode ter exposto seus usuários sem saber.

A violação só foi descoberta após um erro de compilação chamar a atenção para um código estranho e ilegível dentro de um dos pacotes atualizados. 

Especialistas em segurança descobriram depois que se tratava de um sofisticado “crypto-clipper” projetado para redirecionar fundos silenciosamente.

A ameaça é especialmente séria para quem realiza transações por meio de um navegador web. Se você copiou um endereço de um site ou assinou uma transferência sem conferir, pode estar em risco.

O Diretor de Tecnologia da Ledger emitiu um alerta severo nas redes sociais.

🚨 Está em andamento um ataque em larga escala à cadeia de suprimentos: a conta NPM de um desenvolvedor respeitável foi comprometida. Os pacotes afetados já foram baixados mais de 1 bilhão de vezes, o que significa que todo o ecossistema JavaScript pode estar em risco. O payload malicioso funciona…

— Charles Guillemet (@P3b7_) 8 de setembro de 2025

O Que Você Deve Fazer Agora

Especialistas recomendam várias medidas urgentes para todos os detentores de criptomoedas:

• Verifique os endereços: Sempre leia o endereço completo na tela de confirmação da sua carteira ou dispositivo de hardware antes de assinar.
• Pare as atividades se estiver em dúvida: Se você usa uma carteira baseada em navegador ou software, considere pausar as transações até que mais informações estejam disponíveis.
• Verifique atividades recentes: Revise transferências e aprovações passadas. Se notar algo suspeito, revogue as aprovações e mova os fundos para uma nova carteira.
• Use transações de teste: Ao enviar para um novo endereço, transfira primeiro uma pequena quantia para confirmar que ela chega com segurança.
• Confie em carteiras de hardware: Dispositivos que mostram detalhes da transação em uma tela separada continuam sendo a opção mais segura.

O ataque mostra como a confiança no ecossistema de software open-source pode ser frágil. Uma única conta de desenvolvedor comprometida permitiu que hackers inserissem código perigoso em bilhões de downloads.

Este incidente ainda está em andamento. As versões maliciosas estão sendo removidas, mas algumas podem permanecer online por dias ou semanas. A abordagem mais segura é a vigilância.

Se você usa criptomoedas, confira cada transação com atenção. Um olhar extra para o endereço na sua carteira pode ser a diferença entre segurança e roubo.