Ataque em supply chain leva CTO da Ledger a pedir pausa nas transações
CTO da Ledger alerta para ataque em supply chain envolvendo pacote NPM que atua como crypto-clipper, trocando endereços de destino em transações. Impacto pode atingir múltiplas redes. Usuários sem hardware wallet devem adiar operações on-chain.
Pacote NPM comprometido age como crypto-clipper e pode afetar várias redes; quem não usa hardware wallet deve adiar operações on-chain.
Um alerta do diretor de tecnologia da Ledger, Charles Guillemet, acendeu o sinal vermelho no mercado cripto. Segundo o executivo, está em curso um ataque em larga escala na cadeia de suprimentos de software que pode interferir em transações e desviar fundos. A orientação é clara: quem utiliza apenas carteiras de software deve adiar operações on-chain até que a situação seja controlada. Usuários de hardware wallet devem revisar com atenção os dados exibidos no dispositivo antes de assinar.
O que se sabe do ataque
Relatos técnicos indicam que o pacote NPM ‘error-ex’, com dezenas de milhões de downloads semanais, foi comprometido. Por ser uma dependência pequena e muito difundida, o código malicioso pode ter alcançado inúmeros projetos sem que desenvolvedores percebessem. Guillemet aponta que o impacto potencial abrange múltiplas redes, e ainda não está claro se há roubo de seeds em carteiras de software.
Como o golpe funciona
A versão 1.3.3 do pacote teria sido alterada para atuar como um crypto-clipper. O código busca por interações com carteiras nos navegadores e intercepta requisições de sites, identificando sequências que se parecem com endereços de criptomoedas. Em seguida, substitui o destino por um endereço do atacante com aparência semelhante, técnica que dificulta a identificação da troca. Há indícios de listas de endereços para redes como Bitcoin, Ethereum, Solana, Tron, Litecoin e Bitcoin Cash. Como os caracteres iniciais e finais frequentemente coincidem, a vítima pode acabar assinando a transação sem notar a fraude.
Quem foi atingido até agora
Desenvolvedores relataram incidentes de phishing e comprometimento de contas relacionadas ao ecossistema NPM, o que facilitou a publicação de versões contaminadas. Há menções a repositórios ainda infectados, o que amplia a superfície de ataque. Até o momento, não há um balanço consolidado de perdas, e a extensão real da exposição segue sob apuração.
Orientação aos usuários
Para reduzir riscos, Guillemet recomenda máxima vigilância: usuários de hardware wallet devem conferir em tela, no próprio dispositivo, o endereço e o valor de cada operação antes de assinar. Para quem depende de carteiras de software, a recomendação é adiar transações on-chain temporariamente. Equipes técnicas devem revisar dependências, atualizar pacotes e avaliar se houve inclusão da versão 1.3.3 comprometida em suas aplicações. Enquanto a limpeza do ecossistema avança, prudência é essencial.
