Bitget App
Trading inteligente
Comprar criptoMercadosTradingFuturosRendaCentralMais
Bitget
Notícias
Comprometimento da cadeia de suprimentos do NPM pode expor fundos de cripto a malware de troca de endereços, diz CTO da Ledger

Comprometimento da cadeia de suprimentos do NPM pode expor fundos de cripto a malware de troca de endereços, diz CTO da Ledger

CoinotagCoinotag2025/09/08 21:25
Mostrar original
Por:Marisol Navaro








A exploração da cadeia de suprimentos NPM é um comprometimento em larga escala de pacotes JavaScript confiáveis que pode trocar silenciosamente endereços de cripto durante transações e roubar fundos. Usuários devem evitar assinar transações, auditar pacotes integrados e atualizar ou remover módulos afetados imediatamente para reduzir a exposição.

  • A troca maliciosa de endereços em carteiras web tem como alvo transações de criptomoedas.

  • Pacotes comprometidos incluem módulos NPM amplamente utilizados como “color-name” e “color-string”.

  • Os pacotes afetados já foram baixados mais de 1 bilhão de vezes, aumentando a exposição cross-chain.

Exploração da cadeia de suprimentos NPM: PARE de assinar transações agora — verifique os pacotes e proteja suas carteiras. Aprenda medidas imediatas de proteção.

O que é a exploração da cadeia de suprimentos NPM?

A exploração da cadeia de suprimentos NPM é um comprometimento de contas de desenvolvedores confiáveis que injeta um payload malicioso em pacotes JavaScript. O payload pode trocar silenciosamente endereços de criptomoedas em carteiras web e dApps, colocando fundos em múltiplas blockchains em risco.

Como os pacotes JavaScript foram comprometidos?

Pesquisadores de segurança e especialistas da indústria relataram que uma conta de desenvolvedor confiável no NPM foi invadida, permitindo que atacantes publicassem atualizações contaminadas. O código malicioso é projetado para rodar em contextos de navegador usados por sites de cripto e pode alterar endereços de destino no momento da transação.


Quais pacotes e componentes foram afetados?

Empresas de segurança blockchain identificaram cerca de duas dúzias de pacotes NPM populares afetados, incluindo pequenos módulos utilitários como “color-name” e “color-string”. Como o NPM é um gerenciador central de pacotes para JavaScript, muitos sites e projetos front-end puxam essas dependências de forma transitiva.

Resumo do risco relatado por pacote Pacote Downloads Relatados Nível de Risco
color-name Centos de milhões Alto
color-string Centos de milhões Alto
Outros módulos utilitários (coletivo) Mais de 1 bilhão combinados Crítico

Como os usuários de cripto podem proteger seus fundos agora?

Medidas imediatas: pare de assinar transações em carteiras web, desconecte carteiras de navegador de dApps e evite interagir com sites que dependem de JavaScript não verificado. Valide a integridade dos pacotes em ambientes de desenvolvimento e aplique regras rigorosas de Content Security Policy (CSP) em sites sob seu controle.

Quais precauções os desenvolvedores devem tomar?

Desenvolvedores devem fixar versões de dependências, verificar assinaturas de pacotes quando disponíveis, rodar ferramentas de varredura de cadeia de suprimentos e auditar atualizações recentes de pacotes. Reverter para versões conhecidas como seguras e reconstruir a partir de lockfiles pode reduzir a exposição. Use builds reproduzíveis e verificação independente para bibliotecas front-end críticas.



Perguntas Frequentes

Quão imediata é a ameaça para usuários comuns de cripto?

A ameaça é imediata para usuários que interagem com carteiras web ou dApps que carregam JavaScript de pacotes públicos. Se um site depende dos módulos contaminados, o código de troca de endereço pode ser executado no navegador durante o fluxo de transação.

Quem identificou o comprometimento e o que disseram?

O CTO da Ledger, Charles Guillemet, sinalizou publicamente o problema, destacando a escala e o mecanismo de troca de endereços. Empresas de segurança blockchain também relataram os módulos impactados. Essas observações vêm de postagens públicas e avisos de segurança relatados por especialistas da indústria.

Pontos Principais

  • Pare de assinar transações: Evite assinar em carteiras web até que os pacotes sejam verificados.
  • Audite dependências: Desenvolvedores devem fixar, assinar e escanear pacotes NPM usados no código front-end.
  • Use medidas defensivas: Desconecte carteiras, limpe sessões e utilize CSP e ferramentas de varredura de cadeia de suprimentos.

Conclusão

A exploração da cadeia de suprimentos NPM demonstra como pequenos pacotes utilitários podem representar risco sistêmico para usuários de cripto ao permitir substituição silenciosa de endereços. Mantenha postura defensiva: pare de assinar transações, audite dependências e siga avisos verificados. A COINOTAG atualizará este relatório à medida que mais detalhes técnicos confirmados e remediações forem publicados (publicado em 2025-09-08).

Caso você tenha perdido: Fluxos de Ethereum ETF e o Open Interest da CME podem sinalizar maturação do mercado e potencial retomada da demanda
0

Aviso Legal: o conteúdo deste artigo reflete exclusivamente a opinião do autor e não representa a plataforma. Este artigo não deve servir como referência para a tomada de decisões de investimento.

PoolX: bloqueie e ganhe!
Até 10% de APR - Quanto mais você bloquear, mais poderá ganhar.
Bloquear agora!

Talvez também goste

Preço do Ethereum cai para US$ 3.030 enquanto saídas de ETF e desalavancagem de baleias dominam novembro

O preço do Ethereum fechou novembro com uma queda de 21%, mas o posicionamento no mercado de derivativos e a renovada demanda das baleias sugerem um início positivo para dezembro.

Coinspeaker2025/11/30 22:41
Preço do Ethereum cai para US$ 3.030 enquanto saídas de ETF e desalavancagem de baleias dominam novembro

CoinShares retira pedidos de ETF spot dos EUA para XRP, Solana e Litecoin antes da listagem na Nasdaq

A gestora de ativos europeia CoinShares retirou os registros junto à SEC para seus ETFs planejados de XRP, Solana (com staking) e Litecoin. A empresa também encerrará seu ETF alavancado de futuros de bitcoin. A retirada ocorre enquanto a CoinShares se prepara para uma listagem pública nos EUA por meio de uma fusão SPAC de 1.2 bilhões de dólares com a Vine Hill Capital. O CEO Jean-Marie Mognetti citou a dominância de gigantes das finanças tradicionais no mercado de ETFs cripto dos EUA como explicação para a mudança de estratégia.

The Block2025/11/30 21:50
CoinShares retira pedidos de ETF spot dos EUA para XRP, Solana e Litecoin antes da listagem na Nasdaq
Decodificando VitaDAO: A Revolução de Paradigma da Ciência Descentralizada

Mars Early News | ETH retorna a US$ 3.000, sentimento de medo extremo já passou

O Livro Bege do Federal Reserve mostra que a atividade econômica dos EUA praticamente não mudou, enquanto a divisão no mercado de consumo se intensificou. JPMorgan prevê um corte de juros pelo Federal Reserve em dezembro. A Nasdaq solicitou aumento do limite de contratos futuros do ETF de Bitcoin da BlackRock. ETH retorna ao patamar de 3.000 dólares, com melhora do sentimento do mercado. A Hyperliquid gerou polêmica devido à alteração do símbolo do token. A Binance enfrenta um processo bilionário relacionado ao financiamento do terrorismo. A Securitize recebeu aprovação da União Europeia para operar um sistema de negociação tokenizado. O CEO da Tether respondeu ao rebaixamento da classificação pela S&P. Grandes detentores de Bitcoin aumentaram os depósitos nas exchanges. Resumo gerado pela Mars AI. Este resumo foi produzido pelo modelo Mars AI, cuja precisão e integridade ainda estão em processo de aprimoramento.

MarsBit2025/11/30 21:01
Mars Early News | ETH retorna a US$ 3.000, sentimento de medo extremo já passou

Populares

Mais
1

Preço do Ethereum cai para US$ 3.030 enquanto saídas de ETF e desalavancagem de baleias dominam novembro

2

CoinShares retira pedidos de ETF spot dos EUA para XRP, Solana e Litecoin antes da listagem na Nasdaq

Preços de criptomoedas

Mais
Bitcoin
Bitcoin
BTC
$91,191.02
+0.37%
Ethereum
Ethereum
ETH
$3,028.85
+1.27%
Tether USDt
Tether USDt
USDT
$1
-0.02%
XRP
XRP
XRP
$2.19
-0.67%
BNB
BNB
BNB
$887.53
+1.56%
Solana
Solana
SOL
$137.48
+1.21%
USDC
USDC
USDC
$1
+0.01%
TRON
TRON
TRX
$0.2820
+0.37%
Dogecoin
Dogecoin
DOGE
$0.1490
+0.56%
Cardano
Cardano
ADA
$0.4232
+1.78%
Como vender PI
Listagem de PI na Bitget: compre ou venda PI com rapidez!
Operar agora
Ainda não é um Bitgetter?Pacote de boas-vindas de 6.200 USDT para novos usuários!
Criar conta
Sobre a Bitget
Sobre a Bitget Fale conosco Comunidade Carreiras Bitget Academy Bitget Blog Bitget Token (BGB) Central de comunicados Prova de Reservas Fundo de Proteção Links recíprocos Parceria com a LALIGA Parceria com a MotoGP Blockchain4Youth Blockchain4Her Sitemap
Produtos
Spot Futuros Onchain Ação Margem Renda Copy Trade Spot Copy Trade de Futuros ‌Copy Trade com Robôs Robô APIs TraderPro Carteira OTC de moeda fiduciária Bitget Swap Central de Apps do Telegram Central de Apps do Discord Biblioteca de airdrops
Comprar cripto
Comprar cripto Comprar Bitcoin Comprar ETH Comprar DOGE Comprar XRP Comprar BGB Comprar SHIB Preços de criptomoedas Preço do Bitcoin Preço Ethereum Gráfico de preços da Solana Calculadora ETF de Bitcoin Crypto Wiki Preço do XRP Preço da Pi Network Preço de ADA Preço da Solana Preço da Trump coin Preço da Dogecoin Preço de BRC-20
Suporte
Enviar feedback Central de ajuda Verificar canais oficiais Central de combate a golpes Inscrição para listagem Serviços VIP Programa de Afiliados Serviços institucionais Custódia de ativos Baixar dados Promoções Programa de Convites Tabela de taxas API de declaração de impostos
Jurídico
Solicitação de aplicação da lei Solicitação regulatória Compliance Licença regulatória Políticas de AML/CFT Política de Privacidade Termos de Serviço Aviso de risco
Baixar app
© 2025 Bitget