O CTO da Ledger, Charles Guillemet, alertou na segunda-feira que um ataque em larga escala à cadeia de suprimentos de software está em andamento, visando pacotes NPM usados em todo o ecossistema JavaScript globalmente.
Ledger CTO alerta sobre ataque em grande escala à cadeia de suprimentos NPM; recomenda verificação de endereços
ESCRITO POR
PARTILHAR
‘Potencialmente Todas as Correntes’: CTO da Ledger Adverte Após Conta de Desenvolvedor NPM Ser Hackeada
Ledger‘s Guillemet disse no X que a conta NPM de um desenvolvedor respeitável foi comprometida e que os pacotes afetados foram baixados mais de 1 bilhão de vezes, levantando preocupações de exposição para desenvolvedores.
“Há um ataque em larga escala à cadeia de suprimentos em andamento… todo o ecossistema JavaScript pode estar em risco,” ele escreveu no X, acrescentando que o código malicioso “silentemente troca endereços de criptomoedas em tempo real para roubar fundos.”
Ele aconselhou pessoas que não usam uma carteira de hardware a evitarem realizar transações onchain por enquanto, e instou todos os usuários a revisarem os detalhes da transação antes de assinar. Ele disse que ainda não está claro se o atacante está roubando frases-semente de carteiras de software.
“Para usuários da Ledger ou de outras carteiras de hardware com assinatura clara, você não está em risco,” acrescentou Guillemet, enfatizando que a assinatura clara e a verificação manual protegem contra malware de troca de endereços.
Separadamente, veículos de segurança também relataram compromissos contas NPM em andamento afetando amplamente pacotes usados, com alguns descrevendo a campanha como uma das maiores de seu tipo até hoje. Guillemet disse que o impacto pode abranger “potencialmente todas as correntes.”
