São Paulo — InkDesign News — Um ataque de phishing direcionado a um desenvolvedor de software comprometeu pacotes que acumulam mais de 2,6 bilhões de downloads semanais, sendo considerado um dos maiores ataques de cadeia de suprimentos da história.
Contexto e lançamento
O utilizado em questão, gerido por Josh Junon, foi alvo de uma campanha maliciosa envolvendo phishing, que afeta diversas blockchains, como Ethereum, Bitcoin, Solana e Tron. Junon comentou sobre o incidente em sua conta na Bluesky, mencionando que a “email de reset de 2FA parecia muito legítimo” e lamentando sua desatenção: “Desculpe a todos, eu deveria ter prestado mais atenção.” O incidente levanta questões profundas sobre a segurança em software open source, dado que pacotes vulneráveis podem comprometer inúmeras aplicações.
Design e especificações
NPM, um gerenciador de pacotes open source amplamente utilizado, é essencial para cerca de 17 milhões de projetos de software. O ataque resultou na alteração de 18 pacotes amplamente utilizados, que foram contamidados com código malicioso. O email de phishing, estilizado para parecer autêntico, solicitava que os usuários atualizassem suas credenciais: “Para manter a segurança e integridade de sua conta, pedimos que complete esta atualização assim que possível.” (Para manter a segurança e integridade da sua conta, pedimos que complete essa atualização ao seu mais breve conveniente.)
Repercussão e aplicações
Este incidente destaca vulnerabilidades inerentes ao ecossistema de software open source e como a corrupção de um projeto pode resultar em um efeito dominó, afetando milhares de aplicações. A equipe do NPM já iniciou a remoção das versões maliciosas para conter a propagação do malware. Charlie Eriksen, pesquisador da Aikido, que primeiro alertou sobre a situação, ressaltou a seriedade do comprometimento, notando que a natureza open source pode levar a desastres digitais significativos. “A corrupção de um único projeto pode levar a uma espécie de contágio na web.”
(“Indeed, the corruption of a single project can lead to a kind of web contagion that impacts droves of apps and programs.”)— Charlie Eriksen, Pesquisador, Aikido
À medida que o NPM alterou pacotes comprometidos, surgem questionamentos sobre as medidas de segurança em uma época em que a manipulação de credenciais e dados sensíveis se torna cada vez mais complexa. Apesar deste ataque ter sido contido antes de causar danos significativos, a necessidade de vigilância e educação contínua no uso de software open source é imprescindível.
Fonte: (Gizmodo – Cultura Tech & Geek)
