O ataque cibernético de grandes proporções ao ecossistema NPM impactou cerca de 10% dos ambientes na nuvem, globalmente, afetando milhões de pessoas, na última segunda-feira (8). Mas apesar da escala gigantesca, a campanha que mirava usuários de criptomoedas resultou em uma pequena quantia para os criminosos.

De acordo com análise da Security Alliance, os autores conseguiram desviar valores irrisórios diante do potencial destrutivo da operação, que chegou a causar pânico e exigir vários esforços para a contenção. Eles lucraram o equivalente a menos de US$ 1 mil, ou R$ 5.351 pela cotação do dia, em criptoativos.

Invasores de mãos quase vazias

Usando código malicioso que mirava ambientes de navegador para trocar endereços de carteiras de criptomoedas das vítimas por outros de sua posse, os autores do maior ataque da história à cadeia de suprimentos NPM queriam roubar ativos digitais como ethereum e solana. Mas o resultado foi bem abaixo do esperado.

• Conforme o relatório, foram desviados apenas cinco centavos de ethereum e US$ 20 (R$ 106) em uma memecoin desconhecida durante o ataque;
• Já uma investigação feita pela Socket, rastreando as carteiras dos cibercriminosos, apontou lucro de US$ 429 (R$ 2.292) em ethereum e US$ 46 (R$ 245) em solana;
• A ação envolveu, ainda, o roubo de pequenas quantias de bitcoin, bitcoin cash (BCH) e litecoin (LTC), segundo os investigadores;
• No total, o ataque ao NPM teria levado ao roubo de aproximadamente US$ 600 (R$ 3.206) em moedas digitais, somando os valores transferidos.

Além do lucro baixo, os invasores podem ter enfrentado dificuldade para converter e/ou utilizar as quantias obtidas com o roubo. A partir da sinalização das carteiras envolvidas na campanha maliciosa, a capacidade de movimentação dos recursos se tornou limitada.

“De fato, parece que o maior impacto financeiro de todo esse incidente serão as milhares de horas gastas pelas equipes de engenharia e segurança em todo o mundo trabalhando para limpar ambientes comprometidos e os milhões de dólares em contratos de vendas que inevitavelmente serão assinados como resultado deste novo estudo de caso”, ironizou a Security Alliance, em comunicado.

Como o ataque aconteceu?

Os problemas começaram com um ataque de phishing ao programador Josh Junon, que cuida da manutenção de pacotes populares do ecossistema. Ao clicar no link de um email fraudulento, ele teve a sua conta invadida, permitindo que os autores implantassem códigos maliciosos na plataforma.

Pacotes como giz e debug-js, entre outros que somam 2,6 bilhões de downloads semanais, foram comprometidos. Na prática, desenvolvedores que utilizam tais soluções em seus produtos poderiam expor usuários ao roubo de carteiras de criptomoedas, em determinadas condições.

Curtiu o conteúdo? Continue no TecMundo e interaja com a gente nas redes sociais.