Compartilhe este artigo
Diretor de Tecnologia da Ledger alerta sobre ataque na cadeia de suprimentos do NPM afetando mais de 1 bilhão de downloads
De acordo com Guillemet, o código malicioso — já inserido em pacotes com mais de 1 bilhão de downloads — foi projetado para trocar silenciosamente os endereços de carteiras cripto em transações. Isso significa que usuários desavisados podem enviar fundos diretamente ao atacante sem perceber.
8 de set. de 2025, 7:29 p.m. Traduzido por IA
O que saber:
- Charles Guillemet, diretor de tecnologia da fabricante de carteiras físicas Ledger, alertou no X na segunda-feira que um ataque em larga escala à cadeia de suprimentos está em andamento após a violação da conta do Node Package Manager (NPM) de um desenvolvedor renomado.
- De acordo com Guillemet, o código malicioso — já introduzido em pacotes com mais de 1 bilhão de downloads — foi desenvolvido para trocar silenciosamente endereços de carteiras cripto em transações. Isso significa que usuários desavisados poderiam enviar fundos diretamente ao atacante sem perceber.
Charles Guillemet, diretor de tecnologia da fabricante de carteiras físicas Ledger, alertou no X na segunda-feira que um ataque em larga escala à cadeia de suprimentos está em andamento após a violação da conta do Node Package Manager (NPM) de um desenvolvedor renomado.
De acordo com Guillemet, o código malicioso — já introduzido em pacotes com mais de 1 bilhão de downloads — foi desenvolvido para trocar silenciosamente endereços de carteiras cripto em transações. Isso significa que usuários desavisados poderiam enviar fundos diretamente ao atacante sem perceber.
A História Continua abaixo
Guillemet não revelou o nome do desenvolvedor cuja conta, segundo ele, foi comprometida.
O incidente ressalta o quão profundamente interconectado é o software de código aberto e por que falhas de segurança em ferramentas de desenvolvedor podem repercutir na economia cripto quase que instantaneamente.
Loading...
“NPM é uma ferramenta comumente usada no desenvolvimento de software com JavaScript, que facilita a integração de pacotes para os desenvolvedores,” disse Guillemet em uma mensagem para a CoinDesk. Quando um invasor compromete a conta de um desenvolvedor, ele pode inserir código malicioso em pacotes amplamente utilizados.
“O código malicioso tenta drenar os usuários trocando os endereços usados em transações ou atividades gerais na cadeia e substituindo-os pelo endereço do hacker,” acrescentou Guillemet.
Guillemet enfatizou que, se qualquer aplicação descentralizada ou carteira de software em qualquer blockchain incluir esses pacotes JavaScript, eles poderão ser comprometidos, e os usuários de criptomoedas, consequentemente, poderão perder seus fundos.
“A única forma segura de combater isso é usar uma carteira de hardware com uma tela segura que suporte Clear Signing,” disse Guillemet à CoinDesk. “Isso permitirá que o usuário veja exatamente a quais endereços os fundos estão sendo enviados e garanta que eles correspondam aos endereços pretendidos.”
"Carteiras de hardware sem telas seguras e qualquer carteira que não suporte assinatura Clear estão em alto risco, pois é impossível verificar com precisão se os detalhes da transação estão corretos," acrescentou ele.
"É uma oportunidade para lembrar a todos: sempre verifiquem suas transações, nunca assinem às cegas, utilizem uma carteira de hardware com tela segura e assinem tudo de forma clara," disse Guillemet.
Leia mais: CTO da Ledger Responde a Críticas Sobre Novo Serviço de Recuperação de Carteira
Isenção de responsabilidade sobre IA: Partes deste artigo foram geradas com a ajuda de ferramentas de IA e revisadas por nossa equipe editorial para garantir a precisão e a conformidade com nossos padrões. Para obter mais informações, consulte Política de IA completa da CoinDesk.
Mais para você
O que saber:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Mais para você
ZKsync Lite to Shut Down in 2026 as Matter Labs Moves On
The company framed the move, happening in early 2026, as a planned sunset.
O que saber:
- Matter Labs plans to deprecate ZKsync Lite, the first iteration of its Ethereum layer-2 network, the team said in a post on X over the weekend.
- The company framed the move, happening in early 2026, as a planned sunset for an early proof-of-concept that helped validate their zero-knowledge rollup design choices before newer systems went live.
Principais Histórias
