Um recente ataque de phishing conseguiu obter acesso a um impressionante ecossistema de software.
Um ataque de phishing direcionado à conta de um mantenedor de software específico conseguiu comprometer pacotes de software com mais de 2,6 bilhões de downloads semanais. O BleepingComputer observa que a infecção está sendo chamada de “o maior ataque à cadeia de suprimentos da história”.
O desenvolvedor por trás dos pacotes de software, identificado como Josh Junon, foi comprometido por meio de um esquema de phishing direcionado a diversas blockchains, incluindo Ethereum, Bitcoin, Solana e Tron, relata o The Register . Junon tem publicado sobre o comprometimento em sua conta Bluesky. “Sim, fui hackeado. E-mail de redefinição de 2FA, parecia muito legítimo”, escreveu Junon em sua conta. “Apenas o NPM afetado.”
“Desculpem a todos, eu deveria ter prestado mais atenção”, acrescentou. “Não é como eu; tive uma semana estressante. Vou trabalhar para resolver isso.”
O comprometimento foi notado originalmente por Charlie Eriksen, pesquisador da empresa de segurança Aikido . O e-mail de phishing foi enviado e estilizado para parecer que tinha vindo da própria organização NPM. “Para manter a segurança e a integridade da sua conta, pedimos gentilmente que você conclua esta atualização o mais breve possível”, dizia o e-mail. “Observe que contas com credenciais de 2FA desatualizadas serão bloqueadas temporariamente a partir de 10 de setembro de 2025, para impedir acesso não autorizado.”
O NPM é um gerenciador de pacotes versátil de código aberto que pode ser implantado para diversos fins. O site do NPM afirma que ele é utilizado por cerca de 17 milhões de projetos de software diferentes.
Neste caso, 18 pacotes de software amplamente utilizados e mantidos pela Junon foram sequestrados e implantados com código malicioso, observa Eriksen.
O software de código aberto é um componente infraestrutural essencial da internet moderna, mas seus dilemas de segurança específicos podem, ocasionalmente, levar a desastres digitais. De fato, a corrupção de um único projeto pode levar a um tipo de contágio na web que afeta uma infinidade de aplicativos e programas.
O NPM já passou por esse tipo de situação antes. Um caso semelhante (embora não tão comum) ocorreu em 2022, quando o criador de duas bibliotecas de codificação muito populares as corrompeu aleatoriamente , levando ao “bricking” de inúmeros programas de software. Nesse caso específico, cerca de 20.000 projetos de software teriam dependido desse único criador.
O lado positivo é que, embora a infecção mais recente seja historicamente disseminada, parece que foi eliminada antes que qualquer dano real pudesse ser causado. O BleepingComputer observa que a equipe do NPM vem excluindo as versões maliciosas dos pacotes de software em um esforço para reduzir a disseminação do malware.