Uma falha no sistema de testes levou à descoberta de um dos golpes mais sérios já registrados no mundo do código aberto e no mercado cripto
JD Staerk, um dos desenvolvedores mais respeitados da comunidade JavaScript, teve sua conta invadida no NPM, que é a principal plataforma usada para distribuir bibliotecas e ferramentas de programação em projetos web. É como um grande supermercado onde os desenvolvedores pegam os blocos prontos para montar seus sites e aplicativos.
O problema é que esse “mercado” funciona com base na confiança. E quando alguém invade a conta de um vendedor, consegue espalhar produtos falsificados para milhões de projetos sem que ninguém perceba.
Foi exatamente isso que aconteceu. O invasor publicou versões falsas de pacotes famosos como chalk, strip-ansi, color-convert e error-ex. Esses pacotes estão em praticamente todo site ou app moderno.
O golpe passava despercebido mesmo para quem conferia os dados
O código malicioso adicionado nesses pacotes tinha um objetivo bem específico: roubar criptomoedas. Ele detectava se a pessoa estava com uma carteira digital aberta no navegador, como a MetaMask.
Se estivesse, ele interceptava a transação e trocava o endereço real por um endereço falso, mas visualmente parecido, usando um truque matemático para enganar o olho humano.
Ou seja, mesmo quem conferia os dados antes de confirmar acabava caindo.
Como foi que descobriram tudo isso
O ataque só veio à tona porque um desenvolvedor notou um erro estranho ao tentar fazer o “build” do projeto. Esse termo se refere ao processo automático que prepara o sistema para funcionar, reunindo todas as peças e códigos. É como montar o quebra-cabeça antes de colocar o site no ar.
O erro foi causado por um pacote recém-atualizado. Ao investigar, os devs encontraram um pedaço de código ofuscado, com nome suspeito e comportamento espião. A partir daí, eles descobriram o golpe inteiro.
🧠Por que isso afeta também quem não é da área
Você pode pensar que esse problema é técnico demais, mas não é. Esses pacotes falsos podem estar rodando no site do seu banco, em um e-commerce, no app que você usa todo dia. E se um deles foi comprometido, seus dados podem ter sido interceptados, principalmente se você mexe com cripto.
Mesmo que você não seja programador, vale tomar algumas medidas simples. Se você usa carteira digital, verifique o endereço de destino com muita atenção visual antes de confirmar qualquer envio. Use a versão móvel dos apps oficiais quando possível, porque são menos afetadas por esse tipo de golpe em sites.
Além disso, evite deixar carteiras conectadas em abas do navegador, principalmente enquanto navega por sites desconhecidos.
E para quem é dev ou trabalha com produto digital?
Audite agora os seus projetos. Veja se algum dos pacotes afetados está presente. O próprio JD Staerk recomenda usar a função overrides no package.json para travar versões seguras. Exclua node_modules e package-lock.json e reinstale tudo do zero.
E lembre-se: se você depende de pacotes mantidos por outros, manter-se informado é parte da segurança.
📎 Leia também:
Altcoin Season Index dispara a 61, maior nível em meses
HSBC e ICBC disputam licença para stablecoins em Hong Kong
Binance lança IA que gera relatórios cripto em segundos
Fique por dentro das notícias mais quentes do mercado cripto: entre no nosso canal no WhatsApp.
