Um dos maiores ataques à cadeia de suprimentos da história da web atingiu o ecossistema JavaScript e acendeu um alerta vermelho no setor cripto. O CTO da Ledger, Charles Guillemet, recomendou que usuários sem carteiras físicas interrompam imediatamente qualquer transação on-chain.
O ataque comprometeu pacotes amplamente utilizados no NPM, afetando ferramentas que sustentam milhões de projetos. Assim sendo, o risco de manipulação de endereços e roubo de fundos se tornou real e urgente.
O ataque à cadeia de suprimentos do NPM e seus impactos no setor cripto
O ataque começou com a invasão da conta de Josh Goldberg, conhecido como “Qix”, um mantenedor de pacotes populares no NPM.
Dessa forma, os invasores conseguiram publicar versões maliciosas de bibliotecas como chalk, debug, strip-ansi e color-convert, que juntas somam mais de 2,6 bilhões de downloads semanais.
Como o malware afeta transações on-chain
O código malicioso incluía um “crypto-clipper”, capaz de interceptar funções do navegador e substituir endereços legítimos de carteiras por endereços controlados pelos atacantes.
Inclusive, em alguns casos, o malware modificava transações antes da assinatura, comprometendo diretamente o envio de fundos. Sendo assim, qualquer usuário que interagisse com essas bibliotecas corria o risco de ter suas criptomoedas desviadas sem perceber.
Reação imediata da comunidade e da Ledger
Charles Guillemet publicou um alerta urgente no X (antigo Twitter), recomendando que usuários sem carteiras físicas evitem transações on-chain até que o cenário esteja seguro.
Em resumo, ele afirmou que quem utiliza hardware wallets com verificação clara de assinatura está protegido, mas os demais devem suspender qualquer atividade on-chain por precaução.
Principais bibliotecas afetadas e medidas de mitigação
A escala do ataque exige atenção redobrada de desenvolvedores e usuários. Além disso, projetos que atualizaram dependências recentemente podem estar vulneráveis, mesmo após os patches.
Bibliotecas comprometidas
chalk: mais de 300 milhões de downloads semanaisdebug: cerca de 358 milhões de downloads por semanastrip-ansiecolor-convert: amplamente utilizadas em ferramentas como Babel e ESLint
Medidas recomendadas
- Verificar todas as dependências em projetos ativos
- Reverter atualizações recentes de pacotes afetados
- Utilizar carteiras físicas com verificação de assinatura
- Evitar transações on-chain até confirmação de segurança
Consequências para o ecossistema JavaScript e o mercado cripto
A invasão ao NPM expôs fragilidades na cadeia de distribuição de software. Sendo assim, o episódio serve como alerta para toda a indústria sobre os riscos crescentes de ataques sofisticados.
O método utilizado lembra estratégias de grupos hackers norte-coreanos, como os que roubaram US$ 1,5 bilhão da Bybit em 2025. Dessa forma, o uso de engenharia social e manipulação de dependências mostra que o foco dos invasores está cada vez mais na infraestrutura.
Reações de grandes projetos
Uniswap, MetaMask, Ledger, OKX Wallet, Sui, Aave e Morpho afirmaram que não foram afetados diretamente. Contudo, a recomendação geral é que todos os desenvolvedores revisem seus projetos e evitem atualizações automáticas de pacotes.
Por fim, o ataque reforça a importância de práticas seguras no desenvolvimento e uso de aplicações descentralizadas. Inclusive, a dependência de bibliotecas externas exige monitoramento constante e validação rigorosa.


