A empresa de segurança ReversingLabs fez uma descoberta preocupante: dois pacotes de software JavaScript, que são de código aberto, estavam sendo utilizados para ataques envolvendo Ethereum. As bibliotecas, conhecidas como colortoolsv2 e mimelib2, eram muito parecidas. Cada uma contém dois arquivos, sendo que um deles carrega um script capaz de baixar uma versão mais avançada de malware através de um contrato inteligente na rede Ethereum.
Lucija Valentić, uma pesquisadora da ReversingLabs, comentou que o uso de contratos inteligentes para fins maliciosos nesse contexto é algo inédito. Segundo ela, downloads de malware em estágio avançado têm aparecido semanalmente, quando não diariamente, em repositórios como o NPM. O que realmente chama a atenção é o uso de contratos do Ethereum para armazenar os links que levam a comandos maliciosos, facilitando o download do malware mais perigoso.
Esses dois pacotes são apenas a parte visível de um problema muito maior. A ReversingLabs encontrou uma rede extensa de pacotes contaminados que estavam espalhados pelo GitHub. Muitos desses pacotes disfarçavam-se como ferramentas para negociação de criptomoedas, algo bem comum na comunidade. Eles podiam parecer inofensivos, mas eram tudo menos isso.
Valentić informou que, embora os pacotes NPM não fossem sofisticados, houve um esforço significativo para fazer com que os repositórios que os continham parecessem confiáveis. Alguns deles tinham milhares de alterações, várias estrelas e colaboradores, o que poderia enganar até os desenvolvedores mais atentos. A ReversingLabs acredita que muitas dessas atividades foram manipuladas pelos atacantes para dar a impressão de legitimidade.
É preciso ter cuidado, como destacou 0xToolman, um especialista em segurança, que alertou que os programadores podem não perceber que estão utilizando um código comprometido, uma vez que não foram eles quem o escreveram. Testar cada linha de código pode ser um trabalho imenso, e isso não é viável para todos.
Binance Vincula Malware a Hackers Norte-Coreanos
Recentemente, a Binance declarou estar ciente desses ataques. A empresa desde então tomou medidas rigorosas, pedindo aos seus funcionários que analisem cuidadosamente as bibliotecas do NPM. O diretor de segurança da Binance, Jimmy Su, comentou que o envenenamento de pacotes é uma crescente preocupação, especialmente devido aos hackers da Coreia do Norte, que se tornaram uma grande ameaça para o setor de criptomoedas.
Su acredita que esses agentes estatais, em particular o grupo Lazarus, têm focado em criptomoedas nos últimos anos e obtido bastante sucesso em suas ações. Um relatório da Chainalysis indica que hackers da Coreia do Norte foram responsáveis por 61% do valor total das criptomoedas roubadas em 2024, somando a impressionante quantia de US$ 1,3 bilhão. O FBI ainda atribuiu a eles o famoso roubo de US$ 1,4 bilhão na exchange Bybit.
Embora Su tenha indicado que o principal modo de ataque seja através de funcionários falsos, o envenenamento de pacotes NPM ocupa uma posição de destaque, junto com fraudes em entrevistas. É por isso que as principais exchanges de criptomoedas têm criado grupos no Telegram e Signal para compartilhar informações sobre bibliotecas contaminadas e riscos.
Su explicou que a Binance, junto com outras exchanges como Coinbase e Kraken, participa ativamente dessa aliança de segurança. Os encontros ocorrem regularmente para discutir respostas a incidentes e hacks, e as exchanges têm trabalhado em conjunto há bastante tempo para enfrentar essas ameaças.
