A Toptal, conhecida plataforma de talentos freelance, viu a sua conta de organização no GitHub ser comprometida por hackers. O acesso foi usado para publicar dez pacotes maliciosos no NPM (Node Package Manager), desenhados para roubar dados e apagar completamente os sistemas das vítimas.
Para quem não conhece, a Toptal funciona como um mercado que liga empresas a programadores, designers e especialistas financeiros. A empresa mantém também várias ferramentas internas e sistemas de design, como o popular "Picasso", que disponibiliza através do GitHub e do NPM.
O desenrolar do ataque: do GitHub ao NPM
O ataque começou a 20 de julho, quando os atacantes tomaram o controlo da organização da Toptal no GitHub. Quase de imediato, tornaram públicos 73 repositórios que até então eram privados, expondo projetos e código-fonte sensível.
Nos dias seguintes, os hackers modificaram o código-fonte do sistema "Picasso" para incluir malware e publicaram 10 pacotes infetados no NPM, fazendo-os passar por atualizações legítimas da Toptal. Segundo os investigadores, estima-se que os pacotes tenham sido descarregados cerca de 5.000 vezes antes de serem detetados. No entanto, a Toptal afirma que o valor encontra-se incorreto, e que nenhuma entidade ou utilizador realmente descarregou os conteúdos, mas sim ferramentas automáticas de pesquisa de vulnerabilidades.
As versões maliciosas identificadas são as seguintes:
@toptal/picasso-tailwind (v3.1.0)
@toptal/picasso-charts (v59.1.4)
@toptal/picasso-shared (v15.1.0)
@toptal/picasso-provider (v5.1.1)
@toptal/picasso-select (v4.2.2)
@toptal/picasso-quote (v2.1.7)
@toptal/picasso-forms (v73.3.2)
@xene/core (v0.4.1)
@toptal/picasso-utils (v3.2.0)
@toptal/picasso-typography (v4.1.4)
Roubo de tokens e destruição total do sistema
Os hackers injetaram o código malicioso nos ficheiros package.json através de scripts de 'preinstall' e 'postinstall'. O mecanismo de ataque era executado em duas fases.
O primeiro passo ('preinstall') era roubar o token de autenticação da linha de comandos (CLI) do GitHub da vítima. Este token era depois enviado para um endereço controlado pelos atacantes, dando-lhes acesso não autorizado à conta GitHub do programador infetado.
Após a extração dos dados, o segundo script ('postinstall') tentava apagar por completo o sistema de ficheiros. Em sistemas Linux, executava o perigoso comando sudo rm -rf --no-preserve-root /, enquanto em Windows tentava apagar todos os ficheiros de forma recursiva e silenciosa.
Alerta para programadores: verifiquem as vossas instalações
Segundo a plataforma de segurança de código Socket, a Toptal removeu os pacotes maliciosos a 23 de julho, revertendo para versões seguras. No entanto, não emitiu qualquer comunicado público para alertar os utilizadores que possam ter descarregado as versões perigosas sobre os riscos que corriam na altura em que os investigadores lançaram o comunicado.
No entanto, em resposta à TugaTech, a Toptal afirma que não existem utilizadores para notificar, tendo em conta que alega não existirem utilizadores afetados.
Além disso, a Toptal terá indicado posteriormente que a data fornecida pelos investigadores da Socket estaria incorreta, e que os pacotes maliciosos foram revertidos efetivamente no dia 21.
Embora o método de compromisso inicial seja desconhecido, as possibilidades vão desde ameaças internas a ataques de phishing direcionados aos programadores da Toptal. Se instalou algum dos pacotes mencionados na lista acima, é fortemente aconselhado que reverta para uma versão estável e anterior o mais rapidamente possível e verifique a segurança das suas contas.
A resposta da Toptal
Após a publicação dos relatos sobre o incidente de segurança, a Toptal emitiu um comunicado oficial para endereçar a situação. Na sua resposta, a empresa clarifica a origem da falha e minimiza drasticamente o impacto do ataque, afirmando que nenhum cliente, empresa ou indivíduo foi afetado.
Segundo a Toptal, o compromisso foi possível devido a uma fuga de credenciais antiga, com origem num incidente relacionado com o LastPass ocorrido há vários anos. Os atacantes terão conseguido decifrar essas credenciais e usá-las para aceder à conta da organização.
Downloads inflacionados e o impacto real
A empresa contesta veementemente o número de "5.000 downloads" mencionado nos relatórios iniciais, classificando-o como "hipérbole". A Toptal explica que estes downloads foram, na sua esmagadora maioria, realizados por scanners de segurança automáticos que detetaram o malware, e não por utilizadores reais.
A análise aos logs do servidor que alojava o webhook malicioso revelou apenas 17 endereços IP únicos, que a empresa acredita serem também de ferramentas de investigação e segurança. A Toptal afirma que este seria o limite máximo teórico de possíveis afetados. Curiosamente, a empresa situa o incidente a 20 de junho, e não a 20 de julho como reportado inicialmente, e garante que o código malicioso esteve disponível apenas por "algumas horas".
A Toptal conclui, reiterando que os pacotes afetados (Picasso e Xene) não tinham praticamente nenhuma utilização fora da empresa e que, com base nos dados recolhidos, não houve qualquer impacto conhecido em entidades externas. A empresa garante que os repositórios foram restaurados de imediato a partir de backups seguros e que medidas de segurança adicionais já foram implementadas.
------------
Atualização 05/08/2025: O artigo foi atualizado com detalhes sobre os valores de download dos pacotes infetados, e a resposta da entidade.
Atualização 08/08/2025: O período específico durante o qual os pacotes foram comprometidos permanece incerto, embora a Toptal afirme que foram "apenas algumas horas" numa resposta enviada por e-mail à Socket 13 dias após o incidente.
Nenhum comentário
Seja o primeiro!