Você já imaginou ter sua carteira de criptomoedas invadida por um ataque sofisticado, sem sequer saber como? Pois saiba que isso aconteceu recentemente com muitos desenvolvedores que utilizam o pacote xrpl, um componente essencial para interagir com a Ripple.
Neste post, vamos explorar um ataque na cadeia de suprimentos que comprometeu diversas versões do pacote xrpl no NPM, roubando chaves privadas e fundos de usuários. Prepare-se para entender como isso aconteceu e como se proteger!
O Ataque no Pacote xrpl
O pacote xrpl, disponível no gerenciador de pacotes NPM, é uma biblioteca essencial para desenvolver aplicativos que utilizam a Ripple. Sua popularidade, com mais de 186.000 downloads semanais em abril, torna seu comprometimento catastrófico.
Um ataque sofisticado, descoberto pela empresa de segurança Aikido, inseriu backdoors maliciosos em cinco versões do pacote. Essas backdoors tinham como objetivo roubar chaves privadas dos usuários, dando acesso total às suas carteiras e fundos.
Versões Comprometidas e Ações de Segurança
As versões afetadas são a 4.2.1, 4.2.2, 4.2.3, 4.2.4 e 2.14.2. Embora a versão 2.14.2 seja menos provável de ser explorada por incompatibilidades, a recomendação é atualizar imediatamente.
A recomendação oficial é rotacionar as chaves privadas e verificar se alguma chave foi comprometida. Se a chave mestra de uma conta estiver comprometida, ela deve ser desabilitada imediatamente.
A Vulnerabilidade e seu Impacto
A vulnerabilidade recebeu a classificação crítica CVE-XXXX-XXXX (score 9.3), indicando a gravidade do problema. A natureza exata da vulnerabilidade não foi divulgada, mas está ligada ao ataque na cadeia de suprimentos do xrpl.
Os pesquisadores detectaram o problema observando a presença das novas versões no NPM, mas não no GitHub oficial do projeto. Essa discrepância levantou suspeitas e iniciou as investigações.
Análise do Malware e Métricas
Pesquisadores descobriram um novo código que se conectava a um domínio suspeito, criado recentemente. Esse código roubava as chaves privadas utilizando diferentes métodos, demonstrado experimentos de diferentes formas de roubo de chaves.
O uso do NPM como vetor de ataques é uma tendência crescente, devido à sua natureza open-source e facilidade de acesso. Ataques direcionados a desenvolvedores de criptomoedas, incluindo campanhas da Coreia do Norte, são comuns.
A recomendação é cautela e a adoção de medidas proativas de segurança; monitorar atividades na cadeia de suprimentos e integrar soluções de inteligência de ameaças são essenciais.
Esse caso demonstra a importância de sempre estar atualizado e vigilante contra ameaças na cadeia de suprimentos de software. A segurança da sua carteira digital precisa ser prioridade!
Compartilhe suas experiências e dicas de segurança para proteger suas criptomoedas!
Fonte: Theregister
