Na última segunda-feira (8), um ataque cibernético de grandes proporções contra o ecossistema NPM chamou a atenção do mundo da tecnologia. A ofensiva comprometeu cerca de 10% dos ambientes em nuvem globalmente, afetando milhões de usuários. O alvo eram donos de criptomoedas, mas, apesar da escala gigantesca, os criminosos saíram quase de mãos vazias: o prejuízo total não passou de US$ 600 (cerca de R$ 3.200).
O que os hackers tentaram fazer
A estratégia dos invasores foi simples e perigosa: injetar código malicioso em pacotes populares do NPM, usados por milhões de desenvolvedores, para substituir endereços de carteiras de criptomoedas por outros controlados por eles. Assim, qualquer transação feita por usuários comprometidos poderia ser desviada.
Entre os pacotes afetados estavam giz e debug-js, que juntos somam 2,6 bilhões de downloads semanais.
O resultado real
Mesmo sendo considerado o maior ataque da história à cadeia de suprimentos do NPM, o lucro foi surpreendentemente baixo:
-
Apenas cinco centavos de ethereum e cerca de US$ 20 em uma memecoin desconhecida;
-
Cerca de US$ 429 em ethereum e US$ 46 em solana, rastreados pela empresa Socket;
-
Pequenas quantias em bitcoin, bitcoin cash (BCH) e litecoin (LTC).
No fim, o valor total estimado foi de apenas US$ 600 — muito abaixo do esperado para uma campanha tão sofisticada.
Mais prejuízo para empresas do que para usuários
Segundo a Security Alliance, a principal consequência não foi financeira para as vítimas, mas operacional. Equipes de engenharia e segurança em todo o mundo precisaram gastar milhares de horas revisando sistemas, corrigindo falhas e reforçando defesas. “O maior impacto desse incidente será o custo para as empresas, não o lucro dos criminosos”, ironizou a organização.
Como tudo começou
A invasão teve origem em um ataque de phishing contra o programador Josh Junon, responsável por pacotes populares no NPM. Ao cair em um e-mail falso, sua conta foi comprometida, permitindo que os atacantes publicassem versões maliciosas dos pacotes.
Esse tipo de ataque mostra como uma única credencial comprometida pode colocar em risco toda uma cadeia de suprimentos digital.
