Ataque massivo à cadeia de suprimentos de pacotes NPM: milhões de downloads comprometidos
Um ataque significativo à cadeia de suprimentos atingiu o ecossistema npm, comprometendo vários pacotes com mais de 2,6 bilhões de downloads semanais. Os atacantes usaram e-mails de phishing para obter acesso à conta de um mantenedor, injetando posteriormente malware em vários pacotes amplamente utilizados. Este malware intercepta transações de criptomoedas no navegador, redirecionando fundos para carteiras controladas pelos atacantes. Embora algumas versões maliciosas tenham sido removidas pela equipe do NPM, o incidente destaca as vulnerabilidades das cadeias de suprimentos de software e a crescente ameaça de phishing e ataques baseados em navegador. O impacto foi mitigado em certa medida, pois afetou apenas usuários com instalações recentes em um período de tempo limitado.