Código de trocas de criptomoedas na cadeia de abastecimento de vírus digitais: como hackers norte-coreanos transformam JavaScript em ferramentas de sequestro

Em março de 2025, a comunidade global de desenvolvedores descobriu um lote de pacotes JavaScript infectados com código malicioso, cujo número de downloads ultrapassou um milhão. Esses componentes de código aberto aparentemente normais na verdade carregam um programa de roubo de criptomoedas projetado pelo grupo de hackers norte-coreano Lazarus. Os atacantes manipularam bibliotecas públicas no npm (Node.js Package Manager) para criar uma cadeia de infecção digital que dissemina automaticamente o código malicioso.

Análise técnica do ataque modular

O malware tem como núcleo a “sequestro de dependências”: quando um desenvolvedor referencia uma biblioteca de terceiros contaminada no projeto, o código malicioso automaticamente escaneia os arquivos de carteiras de criptomoedas armazenados localmente. Ele realiza ataques ocultos através de três mecanismos:

Disfarce de ambiente: o programa só ativa quando detecta IPs geográficos específicos ou configurações de idioma do sistema, evitando exposição durante testes em sandbox;

Detecção de chaves: para carteiras de desktop desenvolvidas com o framework Electron, utiliza permissões do sistema de arquivos para roubar chaves privadas de criptomoedas;

Confusão na cadeia: transfere os ativos roubados por meio de pontes entre cadeias para moedas de privacidade, e injeta esses fundos em pools de liquidez de exchanges descentralizadas para lavar dinheiro.

Lógica do novo campo de batalha na guerra fria digital

O ataque revelou vulnerabilidades fatais na ecologia de código aberto:

Quebra na cadeia de confiança: mais de 78% dos projetos JavaScript dependem de bibliotecas de terceiros sem auditoria de segurança, permitindo que hackers comprometam toda a árvore de dependências ao invadir uma única conta de mantenedor;

Desequilíbrio de alavancagem econômica: os ativos roubados são inseridos em protocolos DeFi por meio de mixers, e acabam em empresas de fachada controladas pela Coreia do Norte, usadas para adquirir tecnologias dual-use militares e civis;

Sistema de defesa defasado: softwares tradicionais de antivírus não conseguem detectar comportamentos de sequestro de criptomoedas em processos Node.js, e firewalls corporativos geralmente carecem de detecção profunda do tráfego npm.

As três camadas de defesa na batalha dos desenvolvedores

Para combater a escalada de ataques na cadeia de suprimentos, especialistas em segurança recomendam a implementação da estratégia de “desenvolvimento de confiança zero”:

Rastreamento de dependências: usar ferramentas como Snyk para escanear a árvore de dependências do projeto, bloqueando componentes com licenças de alto risco;

Monitoramento em tempo de execução: implementar sistemas de análise de comportamento na pipeline CI/CD, capturando leituras de arquivos ou requisições de rede anômalas;

Isolamento de hardware: armazenar chaves privadas de forma física separada do ambiente de desenvolvimento, usando HSM (Hardware Security Module) para assinar transações.

Essa guerra sombria contra a cadeia de suprimentos de código marca uma evolução do conflito cibernético, que passa de ataques tradicionais a servidores para ataques precisos às ferramentas de desenvolvimento. Quando cada linha de código de código aberto pode se tornar um vetor de ataque de nações hostis, construir um sistema de defesa de nível imunológico será uma questão-chave para a sobrevivência do ecossistema blockchain. **$D **$S **$PLUME **