Pesquisadores de segurança cibernética revelaram um esquema sofisticado envolvendo pacotes npm e PyPI maliciosos, projetados para roubar dados sensíveis e comprometer carteiras da blockchain Solana. Esses pacotes apresentam funcionalidades que vão desde a interceptação de chaves privadas até a exclusão de arquivos em sistemas infectados, destacando a crescente ameaça aos desenvolvedores e usuários de criptomoedas.
Hackers usam pacotes npm para roubo de chaves Solana
Entre os pacotes maliciosos descobertos, destacam-se:
- @async-mutex/mutex: um typosquat do pacote legítimo
async-mute. - dexscreener: finge ser uma biblioteca para acessar dados de bolsas descentralizadas (DEXs).
- solana-transaction-toolkit e solana-stable-web-huks: transferem automaticamente até 98% dos fundos das carteiras comprometidas.
- cschokidar-next, achokidar-next, chalk-next, csbchalk-next e cschalk: variantes maliciosas de pacotes legítimos como
chokidarechalk. - pycord-self: captura tokens de autenticação do Discord.
Esses pacotes, além de roubarem informações, incluem funções como exclusão de dados e envio de variáveis de ambiente para servidores remotos controlados por hackers.
Roubo de chaves Solana via Gmail SMTP
Os pacotes solana-transaction-toolkit e solana-stable-web-huks são os mais preocupantes, pois interceptam chaves privadas da Solana e as transmitem por meio do Gmail SMTP. Esse método é eficaz porque servidores de e-mail do Gmail frequentemente passam despercebidos por sistemas de firewall e detecção.
Além disso, esses pacotes programaticamente esvaziam as carteiras das vítimas, enviando os fundos para endereços Solana controlados pelos invasores. Segundo o pesquisador Kirill Boychenko, “o uso de serviços confiáveis como o Gmail dificulta a detecção por firewalls”.
Integração com repositórios GitHub
Os atacantes também criaram repositórios no GitHub para atrair desenvolvedores. Projetos como “moonshot-wif-hwan/pumpfun-bump-script-bot” alegavam oferecer ferramentas para automação de fluxos DeFi, mas importavam os pacotes maliciosos, ampliando o alcance da campanha.
Embora as contas relacionadas a esses repositórios tenham sido removidas, os danos causados pela disseminação inicial continuam sendo motivo de preocupação.
Funções de “Kill Switch” e outros ataques
Outro aspecto alarmante envolve pacotes como csbchalk-next, que incorporam uma função de “kill switch” capaz de apagar arquivos inteiros de diretórios críticos, além de exfiltrar dados sensíveis. A operação só é acionada após o pacote receber um código específico do servidor remoto, demonstrando a sofisticação do ataque.
Alvo: desenvolvedores de criptomoedas e APIs
No caso de pycord-self, os desenvolvedores Python são os principais alvos. O pacote captura tokens de autenticação do Discord, permitindo aos invasores criar backdoors persistentes em sistemas Windows e Linux.
Tendências crescentes de ataques em repositórios
Os ataques a plataformas como npm e PyPI não são novos. No ano passado, jogadores do Roblox também foram alvos de pacotes PyPI fraudulentos que utilizavam malware como Skuld e Blank-Grabber. Esses ataques exploram a confiança dos usuários em repositórios legítimos, tornando essencial a verificação rigorosa de pacotes antes da instalação.
Conclusão
Com a crescente adoção de tecnologias blockchain e a dependência de bibliotecas de código aberto, é crucial que desenvolvedores adotem práticas rigorosas de segurança. Verificar assinaturas digitais, monitorar dependências e usar ferramentas de análise de código são passos fundamentais para mitigar riscos em um cenário de ameaças cada vez mais sofisticado.
