Um dos maiores ataques à cadeia de suprimentos da história dos repositórios de código aberto foi descoberto no ecossistema npm. Pesquisadores da Amazon relatam uma inundação sem precedentes no registro de pacotes, mas essa campanha tem uma característica notável: os caçadores não investigaram credenciais, injetaram ransomware ou instalaram malware clássico. Seu objetivo era a mineração secreta de criptomoedas.
Leia também
GitHub reforça segurança do NPM
Biblioteca do NPM permite execução remota
O sistema Amazon Inspector detectou os primeiros pacotes suspeitos no final de outubro. Novas regras de detecção e ferramentas com auxílio de IA foram utilizadas. Até 7 de novembro, a equipe já havia contabilizado vários milhares de publicações suspeitas e, até 12 de novembro, o número de artifícios maliciosos ultrapassou 150.000. Os pacotes foram distribuídos por meio de diversas contas de desenvolvedores, o que indica o planejamento e a cooperação meticulosos dos aventureiros.
Todos os ataques foram relacionados ao tea.xyz, uma plataforma descentralizada que distribui recompensas para desenvolvedores de código aberto usando o token TEA. O token é usado dentro do ecossistema para bônus, staking e governança de projetos. O ataque foi projetado para permitir que os invasores recebessem pagamentos do tea.xyz por meio de atividades simuladas pelos pacotes que eles publicaram.
