Ataque NPM de alcance mundial expôs cerca de 10% dos serviços em nuvem na segunda-feira (8), mas devolveu aos criminosos menos de US$ 1 mil em criptomoedas, revelam análises técnico-financeiras divulgadas nesta semana.
Considerada uma das maiores ofensivas contra a cadeia de suprimentos de software, a ação mirou carteiras digitais de usuários de pacotes populares do ecossistema JavaScript e provocou horas de instabilidade em projetos corporativos e comunitários.
Ataque NPM global rendeu menos de US$ 1 mil aos hackers
Relatório da Security Alliance mostra que, apesar da escala, o desvio direto somou apenas cinco centavos de ethereum e US$ 20 em uma memecoin obscura. Já uma investigação paralela da Socket rastreou movimentações que totalizam US$ 429 em ethereum, US$ 46 em solana e pequenas frações de bitcoin, bitcoin cash e litecoin, chegando a aproximadamente US$ 600 (R$ 3.206) em valores combinados.
Os invasores usaram código malicioso capaz de substituir endereços de carteiras digitados em navegadores por contas controladas pelo grupo, estratégia que, em tese, permitiria ganhos substancialmente maiores. Todavia, a rápida sinalização das carteiras suspeitas limitou a conversão e o uso dos criptoativos capturados.
De acordo com o comunicado, “o maior impacto financeiro será o tempo gasto por equipes de engenharia e segurança para limpar ambientes comprometidos”, além de novos gastos com contratos de proteção, ironizou a entidade.
O vetor inicial foi um ataque de phishing contra o mantenedor Josh Junon, responsável por pacotes como giz e debug-js, que somam 2,6 bilhões de downloads semanais. Com o acesso à conta do desenvolvedor, os hackers injetaram versões adulteradas dos módulos, espalhando-se rapidamente pela infraestrutura de software.
Especialistas recomendam atualizar dependências, revogar tokens expostos e habilitar autenticação multifator. Para mais detalhes técnicos, o leitor pode consultar a cobertura do BleepingComputer, referência internacional em segurança da informação.
Em síntese, o episódio evidencia a vulnerabilidade de ecossistemas baseados em repositórios públicos e o custo potencial — não apenas financeiro — de falhas de governança e validação de código.
Quer acompanhar outras análises sobre segurança e tendências de tecnologia? Visite nossa editoria de Ciência e tecnologia e continue informado.
Crédito da imagem: Getty Images
