Um ataque informático de proporções gigantescas está a abalar o mundo da programação. Piratas informáticos conseguiram comprometer a conta de um programador e injetar código malicioso em pacotes da plataforma NPM que, em conjunto, somam mais de 2.6 mil milhões de downloads semanais. O objetivo do ataque é intercetar e desviar transações de criptomoedas.
Este incidente representa um dos maiores ataques à cadeia de abastecimento de software (supply chain) alguma vez registados, afetando projetos e aplicações em todo o mundo que dependem destes pacotes de código.
O phishing que abriu a porta ao desastre
Tudo começou com uma campanha de phishing bem elaborada. Josh Junon, o programador e responsável pelos pacotes de código comprometidos, confirmou ter sido vítima de um email fraudulento. A mensagem, que parecia ser um alerta oficial da NPM, ameaçava bloquear a sua conta a partir de 10 de setembro de 2025, caso não atualizasse as suas credenciais de autenticação de dois fatores.
O email utilizava um tom alarmista para pressionar o programador a clicar num link que o redirecionava para um site falso, onde as suas credenciais foram roubadas. "Para manter a segurança e integridade da sua conta, pedimos que complete esta atualização o mais breve possível. Note que as contas com credenciais de autenticação de dois fatores desatualizadas serão temporariamente bloqueadas a partir de 10 de setembro de 2025, para prevenir acessos não autorizados", lia-se no email. Outros programadores relataram ter recebido a mesma mensagem fraudulenta.
Como funciona o malware que rouba criptomoedas
Uma vez com o controlo da conta, os atacantes atualizaram os pacotes populares, injetando código malicioso nos ficheiros index.js. Segundo a empresa de segurança Aikido Security, este código age como um espião silencioso dentro do navegador de internet dos utilizadores das aplicações comprometidas.
O malware monitoriza a atividade de rede em busca de transações e endereços de carteiras de criptomoedas como Ethereum, Bitcoin, Solana, Tron, Litecoin e Bitcoin Cash. Quando deteta uma transação, substitui o endereço do destinatário pelo do atacante, momentos antes de a operação ser confirmada pelo utilizador. Na prática, o dinheiro é desviado sem que a vítima se aperceba.
O que torna este ataque particularmente perigoso, segundo os investigadores, é que opera em várias camadas: altera o conteúdo exibido nos sites, manipula as chamadas de API e engana as aplicações sobre o que o utilizador está realmente a assinar digitalmente.
Milhões de projetos em risco: os pacotes afetados
A equipa da NPM já removeu algumas das versões maliciosas publicadas pelos atacantes. No entanto, a lista de pacotes comprometidos é extensa e inclui nomes omnipresentes no desenvolvimento web, que servem de base para inúmeras outras ferramentas e aplicações.
Entre os pacotes afetados estão alguns dos mais populares do ecossistema, como chalk, com 300 milhões de downloads semanais, debug, com 357 milhões, e ansi-styles, com 371 milhões de downloads por semana. Outros pacotes comprometidos incluem supports-color, strip-ansi, ansi-regex, wrap-ansi, color-convert, slice-ansi e muitos outros.
Este incidente não é um caso isolado e sublinha a crescente vulnerabilidade da cadeia de abastecimento de software, onde o compromisso de um único programador pode ter um efeito dominó e impactar milhões de utilizadores a nível global.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech
