Especialistas em segurança digital identificaram uma nova ameaça no repositório npm: um pacote aparentemente inofensivo, batizado de pdf-to-office, que esconde um código malicioso voltado para manipular carteiras de criptomoedas, como a Atomic Wallet e a Exodus.
Ataque furtivo no npm compromete carteiras cripto e desvia fundos para hackers
Embora se apresente como uma ferramenta de conversão de arquivos PDF em documentos Word, o pacote tem como verdadeiro objetivo executar alterações silenciosas nos softwares de carteira instalados no computador da vítima. Ao detectar a presença dessas aplicações, ele insere um código que intercepta e altera automaticamente o endereço de destino durante transações com criptomoedas, redirecionando os fundos para uma carteira controlada pelos atacantes.
Como o ataque funciona?
O código malicioso examina diretórios específicos do Windows, como AppData/Local/Programs, à procura do arquivo atomic/resources/app.asar, usado pela Atomic Wallet. Caso encontre, ele substitui esse arquivo por uma versão modificada que, embora mantenha sua funcionalidade original, troca silenciosamente os endereços de destino das transferências por um endereço codificado em Base64 pertencente aos criminosos.
A mesma lógica se aplica à Exodus, onde o script visa especificamente o arquivo src/app/ui/index.js. Curiosamente, os alvos são versões específicas dos aplicativos: 2.91.5 e 2.90.6 da Atomic Wallet, e 25.13.3 e 25.9.2 da Exodus. Isso demonstra o cuidado dos invasores em garantir a eficácia do ataque sem comprometer a execução normal dos programas.
Persistência mesmo após remoção
Mesmo que o pacote malicioso pdf-to-office seja excluído posteriormente do sistema, os danos permanecem. As modificações feitas nas carteiras são persistentes, continuando a desviar criptomoedas até que o software afetado seja completamente desinstalado e reinstalado.
Notícias Relacionadas
Fraudes de identidade em plataformas de criptomoedas
Aumento das fraudes digitais desafia setor cripto na América Latina
O aumento da regulamentação e do interesse do público impulsionou um crescimento de 50% nas fraudes de identidade em plataformas de criptomoedas na América Latina em 2024, segundo o relatório “State of the Crypto Industry 2025” da Sumsub. O estudo aponta que fraudes documentais seguem como o tipo mais comum, enquanto novos métodos de verificação […]
Nova integração
Comprar Bitcoin com Apple Pay agora é possível graças à Coinbase
A Coinbase agora permite comprar Bitcoin e outras criptomoedas via Apple Pay em aplicativos de terceiros, simplificando transações com sua plataforma Onramp.
O pacote foi publicado inicialmente em 24 de março de 2025 e, até o momento, recebeu três atualizações. A versão mais recente (1.1.2) foi disponibilizada em 8 de abril e já foi baixada 334 vezes — o que reforça a urgência do alerta para desenvolvedores e usuários.
Outros ataques semelhantes
Esse caso se soma a outros exemplos recentes de abuso do npm. A ReversingLabs também relatou os pacotes maliciosos ethers-provider2 e ethers-providerz, que estabeleciam conexões reversas via SSH, permitindo controle remoto dos dispositivos comprometidos.
Além disso, a empresa ExtensionTotal revelou uma série de extensões do Visual Studio Code que desativavam a proteção do Windows e instalavam o minerador XMRig. Entre as extensões falsas estavam:
- Prettier – Código para VSCode
- Discord Rich Presence para VS Code
- Claude AI
- HTML e Python Obfuscator
- Compiladores Golang e Rust
Essas extensões, baixadas mais de um milhão de vezes, simulavam ferramentas legítimas para enganar os usuários enquanto mineravam criptomoedas sem consentimento.
