Bitget App
Trading inteligente
Comprar criptoMercadosTradingFuturosRendaCentralMais
Bitget
Notícias
Comprometimento da cadeia de suprimentos do NPM pode expor fundos de cripto a malware de troca de endereços, diz CTO da Ledger

Comprometimento da cadeia de suprimentos do NPM pode expor fundos de cripto a malware de troca de endereços, diz CTO da Ledger

CoinotagCoinotag2025/09/08 21:25
Mostrar original
Por:Marisol Navaro








A exploração da cadeia de suprimentos NPM é um comprometimento em larga escala de pacotes JavaScript confiáveis que pode trocar silenciosamente endereços de cripto durante transações e roubar fundos. Usuários devem evitar assinar transações, auditar pacotes integrados e atualizar ou remover módulos afetados imediatamente para reduzir a exposição.

  • A troca maliciosa de endereços em carteiras web tem como alvo transações de criptomoedas.

  • Pacotes comprometidos incluem módulos NPM amplamente utilizados como “color-name” e “color-string”.

  • Os pacotes afetados já foram baixados mais de 1 bilhão de vezes, aumentando a exposição cross-chain.

Exploração da cadeia de suprimentos NPM: PARE de assinar transações agora — verifique os pacotes e proteja suas carteiras. Aprenda medidas imediatas de proteção.

O que é a exploração da cadeia de suprimentos NPM?

A exploração da cadeia de suprimentos NPM é um comprometimento de contas de desenvolvedores confiáveis que injeta um payload malicioso em pacotes JavaScript. O payload pode trocar silenciosamente endereços de criptomoedas em carteiras web e dApps, colocando fundos em múltiplas blockchains em risco.

Como os pacotes JavaScript foram comprometidos?

Pesquisadores de segurança e especialistas da indústria relataram que uma conta de desenvolvedor confiável no NPM foi invadida, permitindo que atacantes publicassem atualizações contaminadas. O código malicioso é projetado para rodar em contextos de navegador usados por sites de cripto e pode alterar endereços de destino no momento da transação.


Quais pacotes e componentes foram afetados?

Empresas de segurança blockchain identificaram cerca de duas dúzias de pacotes NPM populares afetados, incluindo pequenos módulos utilitários como “color-name” e “color-string”. Como o NPM é um gerenciador central de pacotes para JavaScript, muitos sites e projetos front-end puxam essas dependências de forma transitiva.

Resumo do risco relatado por pacote Pacote Downloads Relatados Nível de Risco
color-name Centos de milhões Alto
color-string Centos de milhões Alto
Outros módulos utilitários (coletivo) Mais de 1 bilhão combinados Crítico

Como os usuários de cripto podem proteger seus fundos agora?

Medidas imediatas: pare de assinar transações em carteiras web, desconecte carteiras de navegador de dApps e evite interagir com sites que dependem de JavaScript não verificado. Valide a integridade dos pacotes em ambientes de desenvolvimento e aplique regras rigorosas de Content Security Policy (CSP) em sites sob seu controle.

Quais precauções os desenvolvedores devem tomar?

Desenvolvedores devem fixar versões de dependências, verificar assinaturas de pacotes quando disponíveis, rodar ferramentas de varredura de cadeia de suprimentos e auditar atualizações recentes de pacotes. Reverter para versões conhecidas como seguras e reconstruir a partir de lockfiles pode reduzir a exposição. Use builds reproduzíveis e verificação independente para bibliotecas front-end críticas.



Perguntas Frequentes

Quão imediata é a ameaça para usuários comuns de cripto?

A ameaça é imediata para usuários que interagem com carteiras web ou dApps que carregam JavaScript de pacotes públicos. Se um site depende dos módulos contaminados, o código de troca de endereço pode ser executado no navegador durante o fluxo de transação.

Quem identificou o comprometimento e o que disseram?

O CTO da Ledger, Charles Guillemet, sinalizou publicamente o problema, destacando a escala e o mecanismo de troca de endereços. Empresas de segurança blockchain também relataram os módulos impactados. Essas observações vêm de postagens públicas e avisos de segurança relatados por especialistas da indústria.

Pontos Principais

  • Pare de assinar transações: Evite assinar em carteiras web até que os pacotes sejam verificados.
  • Audite dependências: Desenvolvedores devem fixar, assinar e escanear pacotes NPM usados no código front-end.
  • Use medidas defensivas: Desconecte carteiras, limpe sessões e utilize CSP e ferramentas de varredura de cadeia de suprimentos.

Conclusão

A exploração da cadeia de suprimentos NPM demonstra como pequenos pacotes utilitários podem representar risco sistêmico para usuários de cripto ao permitir substituição silenciosa de endereços. Mantenha postura defensiva: pare de assinar transações, audite dependências e siga avisos verificados. A COINOTAG atualizará este relatório à medida que mais detalhes técnicos confirmados e remediações forem publicados (publicado em 2025-09-08).

Caso você tenha perdido: Fluxos de Ethereum ETF e o Open Interest da CME podem sinalizar maturação do mercado e potencial retomada da demanda
0

Aviso Legal: o conteúdo deste artigo reflete exclusivamente a opinião do autor e não representa a plataforma. Este artigo não deve servir como referência para a tomada de decisões de investimento.

PoolX: bloqueie e ganhe!
Até 10% de APR - Quanto mais você bloquear, mais poderá ganhar.
Bloquear agora!

Talvez também goste

Alliance DAO diz que não vai fazer short em L1s, mas as chama de apostas de baixa qualidade

Qiao Wang da Alliance DAO questiona o valor a longo prazo dos tokens L1, citando a falta de uma barreira competitiva forte. Ele considera os tokens L1 como "apostas de baixa qualidade", mas não acredita que sejam investimentos ruins no geral. Wang sugere que a camada de aplicativos oferece oportunidades de investimento mais seguras, com uma captura de valor mais robusta.

CoinEdition2025/11/30 17:48

Teste global do OracleX: Reconstruindo o mecanismo de incentivo do mercado de previsões com "Prova de Contribuição de Comportamento"

OracleX é uma plataforma de previsão descentralizada baseada no protocolo POC, que resolve as principais dificuldades do mercado de previsões por meio de um modelo de dupla moeda e de um mecanismo de recompensas por contribuição, criando assim um ecossistema de tomada de decisões com inteligência coletiva. Resumo gerado pela Mars AI. Este resumo foi gerado pelo modelo Mars AI, cuja precisão e completude ainda estão em fase de atualização iterativa.

MarsBit2025/11/30 17:21
Teste global do OracleX: Reconstruindo o mecanismo de incentivo do mercado de previsões com "Prova de Contribuição de Comportamento"

Bitcoin não é “ouro digital” — é a moeda-mãe global da era da IA

O artigo refuta a ideia de que o Bitcoin será substituído, destacando o valor único do Bitcoin como camada de protocolo, incluindo efeitos de rede, imutabilidade e seu potencial como camada global de liquidação. Além disso, explora novas oportunidades para o Bitcoin na era da inteligência artificial. Resumo gerado por Mars AI. Este resumo foi gerado pelo modelo Mars AI, cuja precisão e integridade do conteúdo ainda estão em fase de atualização iterativa.

MarsBit2025/11/30 17:20
Bitcoin não é “ouro digital” — é a moeda-mãe global da era da IA

Populares

Mais
1

Alliance DAO diz que não vai fazer short em L1s, mas as chama de apostas de baixa qualidade

2

Mercado em alta do Bitcoin: uma desaceleração, não uma ruptura

Preços de criptomoedas

Mais
Bitcoin
Bitcoin
BTC
$91,349.19
+0.89%
Ethereum
Ethereum
ETH
$3,037.63
+2.00%
Tether USDt
Tether USDt
USDT
$1
-0.04%
XRP
XRP
XRP
$2.2
+0.02%
BNB
BNB
BNB
$896.45
+2.62%
Solana
Solana
SOL
$138.41
+1.64%
USDC
USDC
USDC
$1.0000
-0.03%
TRON
TRON
TRX
$0.2829
+0.67%
Dogecoin
Dogecoin
DOGE
$0.1500
+1.48%
Cardano
Cardano
ADA
$0.4249
+2.59%
Como vender PI
Listagem de PI na Bitget: compre ou venda PI com rapidez!
Operar agora
Ainda não é um Bitgetter?Pacote de boas-vindas de 6.200 USDT para novos usuários!
Criar conta
Sobre a Bitget
Sobre a Bitget Fale conosco Comunidade Carreiras Bitget Academy Bitget Blog Bitget Token (BGB) Central de comunicados Prova de Reservas Fundo de Proteção Links recíprocos Parceria com a LALIGA Parceria com a MotoGP Blockchain4Youth Blockchain4Her Sitemap
Produtos
Spot Futuros Onchain Ação Margem Renda Copy Trade Spot Copy Trade de Futuros ‌Copy Trade com Robôs Robô APIs TraderPro Carteira OTC de moeda fiduciária Bitget Swap Central de Apps do Telegram Central de Apps do Discord Biblioteca de airdrops
Comprar cripto
Comprar cripto Comprar Bitcoin Comprar ETH Comprar DOGE Comprar XRP Comprar BGB Comprar SHIB Preços de criptomoedas Preço do Bitcoin Preço Ethereum Gráfico de preços da Solana Calculadora ETF de Bitcoin Crypto Wiki Preço do XRP Preço da Pi Network Preço de ADA Preço da Solana Preço da Trump coin Preço da Dogecoin Preço de BRC-20
Suporte
Enviar feedback Central de ajuda Verificar canais oficiais Central de combate a golpes Inscrição para listagem Serviços VIP Programa de Afiliados Serviços institucionais Custódia de ativos Baixar dados Promoções Programa de Convites Tabela de taxas API de declaração de impostos
Jurídico
Solicitação de aplicação da lei Solicitação regulatória Compliance Licença regulatória Políticas de AML/CFT Política de Privacidade Termos de Serviço Aviso de risco
Baixar app
© 2025 Bitget