|
|
non fungible anxiety
Member
 Offline
Activity: 434
Merit: 64
|
 |
September 08, 2025, 07:29:59 PM |
|
Eu vi, uma pessoa de alta qualificação caindo em golpe de e-mail falso, incrível  |
|
|
|
|
Forsyth Jones
Legendary
Offline
Activity: 1862
Merit: 2030
I love Bitcoin!
|
|
September 08, 2025, 09:06:09 PM |
|
Agora eu fiquei preocupado, pois como sou um utilizador de Linux, é muito comum usarmos pacotes NPM para instalar coisas, e quando eu vi Ledger na notícia no Livecoins, achei que novamente era algum vacilo da Ledger: https://livecoins.com.br/evite-fazer-qualquer-transacao-de-criptomoedas-diz-diretor-da-ledger-citando-ataque-de-larga-escala/Enfim, tomarmos cuidado, verificar os endereços de envio sempre, independente da quantia a ser enviada, e também, prezar por um sistema seguro seguindo boas práticas de segurança e navegação. |
|
|
|
TryNinja
Legendary
Offline
Activity: 3528
Merit: 10006
@ List of no-KYC websites: https://bitlist.co
|
|
September 08, 2025, 09:20:15 PM |
|
Esse tipo de ataque se chama "supply chain". Eu já usei essa chalk para um programa meu.  Aliás, lembro do eXch falando que não suporta programas escritos em python e nodejs exatamente por conta desses ataques. O ecossistema é muito dependente dessas bibliotecas terceiras, que muitas vezes são dependentes de outras bibliotecas terceiras. No meio do caminho rola um malware desse e foi-se tudo... |
|
|
|
joker_josue
Legendary
Offline
Activity: 2352
Merit: 6774
**In BTC since 2013**
|
|
September 09, 2025, 09:58:30 PM |
|
Mas afinal que tipo de ataque foi? A pessoa usa um programa que utiliza essa biblioteca e fica exposto ao ataque? Foi o cara que tomo alguma medida errada? O que realmente aconteceu, não percebi...  |
|
|
|
TryNinja
Legendary
Offline
Activity: 3528
Merit: 10006
@ List of no-KYC websites: https://bitlist.co
|
|
September 10, 2025, 12:35:05 AM
Last edit: September 10, 2025, 01:12:28 PM by TryNinja Merited by sabotag3x (1), joker_josue (1) |
|
Mas afinal que tipo de ataque foi? A pessoa usa um programa que utiliza essa biblioteca e fica exposto ao ataque? Foi o cara que tomo alguma medida errada? O que realmente aconteceu, não percebi... Pra não termos que reinventar a roda para cada novo programa escrito, existem as bibliotecas que são códigos feitos por outra pessoa que você simplesmente baixa e usa. Por exemplo, ao invés de precisar escrever um um código do zero para fazer calculos matematicos, existem bibliotecas como o mathjs que você só instala e chama a função pronta. import { log } from 'mathjs';
log(10000, 10) // 4O que aconteceu é que um desenvolvedor com várias bibliotecas, cada com milhões de instalações, foi hackeado via engenharia social e o "hacker" mandou um update para suas bibliotecas com um código escondido que detectava qualquer endereço crypto e alterava para um endereço do "hacker". Então eu tava lá instalando o mathjs (exemplo) para reaproveitar a função log e de cara um código malicioso era executado de fundo para trocar endereços no meu programa. Na prática qualquer programa que tinha como dependencia essas bibliotecas (e teve o azar de atualizar para a versão maliciosa) seria infectado. Digamos então que a Coinbase tivesse essa dependencia suja no seu website, talvez o usuário digitasse seu endereço enquanto na página de envio da exchange e ele fosse trocado para uma versão maliciosa. |
|
|
|
bitmover
Legendary
Offline
Activity: 2996
Merit: 7372
Trêvoid █ No KYC-AML Crypto Swaps
|
|
September 10, 2025, 04:31:16 AM |
|
Mas afinal que tipo de ataque foi? A pessoa usa um programa que utiliza essa biblioteca e fica exposto ao ataque? Foi o cara que tomo alguma medida errada? O que realmente aconteceu, não percebi... Por exemplo, o talkimg usa dezenas de bibliotecas. Afinal, o código ali não foi todo escrito por você né. Olhando rapidamente, entre as bibliotecas que voce usa no talkimg, achei a chevereto ( https://www.jsdelivr.com/package/npm/chevereto) Dai sempre que alguém acessa o talkimg, faz download das bibliotecas que voce usa nele, como a chevereto. Acho que o talkimg hospeda a chevereto localmente, mas é muito comum hospedarem em CDN (servicos ultra rápidos chamados Content Delivery Network), o mais famoso é a NPM. Se o chevereto for atacado numa CDN, quem usa o talkimg estará exposto, entendeu. É o supply chain attack. É assim com 99.99% da web. |
|
|
|
joker_josue
Legendary
Offline
Activity: 2352
Merit: 6774
**In BTC since 2013**
|
|
September 10, 2025, 06:32:51 AM |
|
O que aconteceu é que um desenvolvedor com várias bibliotecas, cada com milhões de instalações, foi hackeado via engenharia reversa e o "hacker" mandou um update para suas bibliotecas com um código escondido que detectava qualquer endereço crypto e alterava para um endereço do "hacker".
OK. Percebi. Realmente não tinha percebido como é que o problema chegou a essas bibliotecas. O pior é que muitas vezes esse código malicioso fica difícil de detectar, mesmo por quem analisa. Principalmente se o desenvolvedor for de confiança e a biblioteca muito usada. Uma coisa é certa, nunca pense que esta seguro, qualquer um pode ser "apanhado". Acho que o talkimg hospeda a chevereto localmente, mas é muito comum hospedarem em CDN (servicos ultra rápidos chamados Content Delivery Network), o mais famoso é a NPM. Se o chevereto for atacado numa CDN, quem usa o talkimg estará exposto, entendeu. É o supply chain attack.
Procuro sempre correr tudo localmente, principalmente os scripts fundamentais para o funcionamento. Atualizações só meses depois, para evitar erros de lançamento. Enfim, todo o cuidado é pouco, e no final todo o mundo esta de alguma forma exposto a que algo possa acontecer. Olha, eu nunca imaginei sofrer um ataque DDoS no TalkImg, e sofri. Então, nunca se esta livre dessas situações. |
|
|
|
bitmover
Legendary
Offline
Activity: 2996
Merit: 7372
Trêvoid █ No KYC-AML Crypto Swaps
|
|
September 10, 2025, 01:28:12 PM |
|
Acho que o talkimg hospeda a chevereto localmente, mas é muito comum hospedarem em CDN (servicos ultra rápidos chamados Content Delivery Network), o mais famoso é a NPM. Se o chevereto for atacado numa CDN, quem usa o talkimg estará exposto, entendeu. É o supply chain attack.
Procuro sempre correr tudo localmente, principalmente os scripts fundamentais para o funcionamento. Atualizações só meses depois, para evitar erros de lançamento. É uma boa prática mesmo. Mas é difícil ter controle de tudo, as vezes alguma lib pode estar fazendo requisição para alguma CDN. Olha, eu nunca imaginei sofrer um ataque DDoS no TalkImg, e sofri. Então, nunca se esta livre dessas situações. Pois é, foi um erro de calculo. Eu tenho certeza que todo site na internet que tenha um minimo de atividade irá sofrer ataques DDOS com frequencia. Sei por experiência propria. E agora voce sabe tambem  E prepare-se pq de vez em quando voce sofrerá algum |
|
|
|
TryNinja
Legendary
Offline
Activity: 3528
Merit: 10006
@ List of no-KYC websites: https://bitlist.co
|
|
September 10, 2025, 04:04:16 PM |
|
O que aconteceu é que um desenvolvedor com várias bibliotecas, cada com milhões de instalações, foi hackeado via engenharia reversa e o "hacker" mandou um update para suas bibliotecas com um código escondido que detectava qualquer endereço crypto e alterava para um endereço do "hacker".
OK. Percebi. Realmente não tinha percebido como é que o problema chegou a essas bibliotecas. O pior é que muitas vezes esse código malicioso fica difícil de detectar, mesmo por quem analisa. Principalmente se o desenvolvedor for de confiança e a biblioteca muito usada. Uma coisa é certa, nunca pense que esta seguro, qualquer um pode ser "apanhado". O maior problema é que muita gente atualiza as bibliotecas para a versão mais recente sem verificar o que foi adicionado. Aí é ficar nas mãos do programador ou de quem lá tem acesso ao código e a permissão de enviar updates para o repositorio. Eu só uso bibliotecas grandes e não fico atualizando com tanta frequência. Se eu conseguir fazer algo localmente, vou fazer. Para você ver, tem biblioteca do tipo "is-even" que literalmente só tem a função que retornar se um número é par ou impar... o pessoal faz piada com isso.  |
|
|
|
sabotag3x (OP)
Legendary
Offline
Activity: 3108
Merit: 3141
♻️ Automatic Exchange
|
|
September 10, 2025, 04:40:13 PM |
|
|
░░░░▄▄████████████▄
░▄████████████████▀
▄████████████████▀▄█▄
▄███████▀▀░░▄███▀▄████▄
▄██████▀░░░▄███▀░▀██████▄
██████▀░░▄████▄░░░▀██████
██████░░▀▀▀▀░▄▄▄▄░░██████
██████▄░░░▀████▀░░▄██████
▀██████▄░▄███▀░░░▄██████▀
▀████▀▄████░░▄▄███████▀
▀█▀▄████████████████▀
▄████████████████▀░
▀████████████▀▀░░░░ | |
CCECASH | | | | |
|
|
|
joker_josue
Legendary
Offline
Activity: 2352
Merit: 6774
**In BTC since 2013**
|
|
September 10, 2025, 05:24:00 PM |
|
Para você ver, tem biblioteca do tipo "is-even" que literalmente só tem a função que retornar se um número é par ou impar... o pessoal faz piada com isso. Será que com o IA, vão começar a usar menos essas bibliotecas muito básicas? Podem não ser os scripts mais seguros do mundo, mas para isso o código gerado por IA é mais do que suficiente. |
|
|
|
TryNinja
Legendary
Offline
Activity: 3528
Merit: 10006
@ List of no-KYC websites: https://bitlist.co
|
|
September 10, 2025, 06:52:29 PM |
|
Parece aquele ataque em que conseguiram uma conta juridica do Twitter e com isso invadiram todas as grandes contas da rede social, dos presidentes dos países, Elon Musk, Apple, Microsoft, todo mundo... aí aproveitaram essa brecha para tweetar "enviem BTC e ganhe de volta dobrado!". O cara saiu com menos de $100k dessa brincadeira. Imagina o estrago... Agora conseguiriam enviar código malicioso para diversos sites e apps, o que abriria inumeras portas, e sairam com milão. |
|
|
|
|
mikel_012
|
|
September 10, 2025, 11:07:45 PM |
|
Para você ver, tem biblioteca do tipo "is-even" que literalmente só tem a função que retornar se um número é par ou impar... o pessoal faz piada com isso. Será que com o IA, vão começar a usar menos essas bibliotecas muito básicas? Podem não ser os scripts mais seguros do mundo, mas para isso o código gerado por IA é mais do que suficiente. Acho que vai ajudar também, por que a IA vai escrever todo o codigo que outro desenvolvedor disponibilizaria em seu programa. Mas isso pode ser ruim pois muitos deixam a IA trabalhar e ela cria vulnerabilidades de segurança. Li sobre um site que deixou todos os dados dos clientes abertos inclusive com dados sensiveis e fotos por que eles fizeram vibe code e deixaram a IA escrever o que eles não entendiam |
░▄████████████▀▄
▀▀▀▀▀▀▀▀▀▀▀▀▀▄██
████████████░█▀
████░▄▄▄███████▄
████▄▄▄▄▄▄▄▄░▄██
▀▀▀▀▀▀▀▀████░███
████████████░███
████████████░█▀ |
░▄████████████▀▄
▀▀▀▀▀▀▀▀▀▀▀▀▀▄██
████████████░███
████████████░███
████████████░███
████▄▄▄▄████░██▀
████▀▀▀▀▀▀▀▀░▀
████░█▀ |
░▄████████████▀▄
▀▀▀▀▀▀▀▀▀▀▀▀▀▄██
████████████░█▀
█████████░▄▄▄
█████████░███
░▄░██████░██▀██▄
▀▀░██████░▀██▄██
████████████░█▀ |
░▄███████▀░▄██▀▄
▀▀▀▀▀▀▀▀██▀▀▀▄██
████████████░███
████████████░███
██░▄░███████░███
██░█░███████░███
████████████░███
████████████░█▀ |
░▄██████▀▄
▀▀▀▀▀▀▀▄██
██████░███
██████░███
██████░███
██████░███████▀▄
██████░▀▀▀▀▀▀▄██
████████████░█▀ |
░▄████▀██▄█████▀▄
▀▀▀▀▀███▀▀▀▀▀▀▄██
█████████████░███
█████░█░█████░███
█████░▀░█████░███
█████████████░█▀
██████████░▄▄▄
██████████░█▀ |
..... Next−Gen Crypto iGaming ..... | | | | | | |
Play now |
|
|
|
sabotag3x (OP)
Legendary
Offline
Activity: 3108
Merit: 3141
♻️ Automatic Exchange
|
|
September 10, 2025, 11:21:37 PM |
|
Será que com o IA, vão começar a usar menos essas bibliotecas muito básicas?
Podem não ser os scripts mais seguros do mundo, mas para isso o código gerado por IA é mais do que suficiente.
Acho que vai ajudar também, por que a IA vai escrever todo o codigo que outro desenvolvedor disponibilizaria em seu programa. Mas isso pode ser ruim pois muitos deixam a IA trabalhar e ela cria vulnerabilidades de segurança. Li sobre um site que deixou todos os dados dos clientes abertos inclusive com dados sensiveis e fotos por que eles fizeram vibe code e deixaram a IA escrever o que eles não entendiam Não sei se vocês viram, mas o CEO da Coinbase falou recentemente que 40% dos códigos dos produtos deles (Coinbase, Base, etc) já é gerado por IA.. Fonte: https://x.com/brian_armstrong/status/1963315806248604035Mais sobre: https://www.coinbase.com/en-gb/blog/Tools-for-Developer-Productivity-at-CoinbaseObviamente muita gente ficou com o bug, digo, a pulga, atrás da orelha nos comentários.. |
░░░░▄▄████████████▄
░▄████████████████▀
▄████████████████▀▄█▄
▄███████▀▀░░▄███▀▄████▄
▄██████▀░░░▄███▀░▀██████▄
██████▀░░▄████▄░░░▀██████
██████░░▀▀▀▀░▄▄▄▄░░██████
██████▄░░░▀████▀░░▄██████
▀██████▄░▄███▀░░░▄██████▀
▀████▀▄████░░▄▄███████▀
▀█▀▄████████████████▀
▄████████████████▀░
▀████████████▀▀░░░░ | |
CCECASH | | | | |
|
|
|
joker_josue
Legendary
Offline
Activity: 2352
Merit: 6774
**In BTC since 2013**
|
|
September 10, 2025, 11:23:33 PM |
|
Acho que vai ajudar também, por que a IA vai escrever todo o codigo que outro desenvolvedor disponibilizaria em seu programa. Mas isso pode ser ruim pois muitos deixam a IA trabalhar e ela cria vulnerabilidades de segurança. Li sobre um site que deixou todos os dados dos clientes abertos inclusive com dados sensiveis e fotos por que eles fizeram vibe code e deixaram a IA escrever o que eles não entendiam
O problema não esta no IA em si, mas a forma como ele é usado. Assim como não se pode confiar cegamente nas bibliotecas de código, não se pode fazer o mesmo com o IA. Além disso, não basta o IA fazer o código, tem de ser usado para revisar o próprio código. Além da analise humana, dos testes, etc. No final é o mesmo que se tem de fazer quando o código é escrito por humanos. O errado é pensar o contrario. |
|
|
|
Forsyth Jones
Legendary
Offline
Activity: 1862
Merit: 2030
I love Bitcoin!
|
|
September 10, 2025, 11:34:46 PM |
|
Pra quem quiser saber quais carteiras já declararam que não são afetadas por essa vulnerabilidade, eu ví esse tweet no X: https://x.com/BTCsessions/status/1965213302612787456Hoje eu fiz uma transação pelo Bitcoin Core (on-chain), tudo normal, mas não baixem a guarda, verifiquem tudo, endereço, taxa, todos os detalhes da transação! |
|
|
|
joker_josue
Legendary
Offline
Activity: 2352
Merit: 6774
**In BTC since 2013**
|
|
September 11, 2025, 06:29:59 AM |
|
Entretanto a vulnerabilidade já foi corrigida. O problema é que muitos assim que souberam da situação, desligaram as bibliotecas do CND. Se não estiverem atentos, a correção pode ter saído e agora eles não recebem a mesma, resultando ficarem com a vulnerabilidade no script local e pensam que estão safos.  Se calhar o real impacto vai se sentir daqui a uns meses, quando já ninguém se lembra, e alguns ainda correm os scripts infetados. |
|
|
|
|
mikel_012
|
|
September 11, 2025, 12:14:05 PM |
|
Pra quem quiser saber quais carteiras já declararam que não são afetadas por essa vulnerabilidade, eu ví esse tweet no X: https://x.com/BTCsessions/status/1965213302612787456Hoje eu fiz uma transação pelo Bitcoin Core (on-chain), tudo normal, mas não baixem a guarda, verifiquem tudo, endereço, taxa, todos os detalhes da transação! Bitcoin Core não usa javascript e nem biblioteca da NPM então a chance dele ser afetado é zero. Só carteiras feitas em javascript poderiam ter sido afetadas e teriam que usar bibliotecas afetadas. Acho que vai ajudar também, por que a IA vai escrever todo o codigo que outro desenvolvedor disponibilizaria em seu programa. Mas isso pode ser ruim pois muitos deixam a IA trabalhar e ela cria vulnerabilidades de segurança. Li sobre um site que deixou todos os dados dos clientes abertos inclusive com dados sensiveis e fotos por que eles fizeram vibe code e deixaram a IA escrever o que eles não entendiam
O problema não esta no IA em si, mas a forma como ele é usado. Assim como não se pode confiar cegamente nas bibliotecas de código, não se pode fazer o mesmo com o IA. Além disso, não basta o IA fazer o código, tem de ser usado para revisar o próprio código. Além da analise humana, dos testes, etc. No final é o mesmo que se tem de fazer quando o código é escrito por humanos. O errado é pensar o contrario. Se entender de código a IA vai ajudar e você finaliza. Mas muitos dizem que IA vai substituir os desenvolvedores e aí mora o perigo por que vão deixar passar codigo ruim e cheio de problemas e vulnerabilidades basicas, achando que a IA fez tudo perfeitamente como se fosse um desenvolvedor com décadas de experiencia. |
░▄████████████▀▄
▀▀▀▀▀▀▀▀▀▀▀▀▀▄██
████████████░█▀
████░▄▄▄███████▄
████▄▄▄▄▄▄▄▄░▄██
▀▀▀▀▀▀▀▀████░███
████████████░███
████████████░█▀ |
░▄████████████▀▄
▀▀▀▀▀▀▀▀▀▀▀▀▀▄██
████████████░███
████████████░███
████████████░███
████▄▄▄▄████░██▀
████▀▀▀▀▀▀▀▀░▀
████░█▀ |
░▄████████████▀▄
▀▀▀▀▀▀▀▀▀▀▀▀▀▄██
████████████░█▀
█████████░▄▄▄
█████████░███
░▄░██████░██▀██▄
▀▀░██████░▀██▄██
████████████░█▀ |
░▄███████▀░▄██▀▄
▀▀▀▀▀▀▀▀██▀▀▀▄██
████████████░███
████████████░███
██░▄░███████░███
██░█░███████░███
████████████░███
████████████░█▀ |
░▄██████▀▄
▀▀▀▀▀▀▀▄██
██████░███
██████░███
██████░███
██████░███████▀▄
██████░▀▀▀▀▀▀▄██
████████████░█▀ |
░▄████▀██▄█████▀▄
▀▀▀▀▀███▀▀▀▀▀▀▄██
█████████████░███
█████░█░█████░███
█████░▀░█████░███
█████████████░█▀
██████████░▄▄▄
██████████░█▀ |
..... Next−Gen Crypto iGaming ..... | | | | | | |
Play now |
|
|
|
joker_josue
Legendary
Offline
Activity: 2352
Merit: 6774
**In BTC since 2013**
|
|
September 11, 2025, 06:43:56 PM |
|
Se entender de código a IA vai ajudar e você finaliza. Mas muitos dizem que IA vai substituir os desenvolvedores e aí mora o perigo por que vão deixar passar codigo ruim e cheio de problemas e vulnerabilidades basicas, achando que a IA fez tudo perfeitamente como se fosse um desenvolvedor com décadas de experiencia.
Isso é agora, não daqui a uns anos. O IA vai ser capaz de criar scripts cada vez melhores. As vezes, pode é não aplicar a logica certa, mas com aprendizagem esses problemas vão desaparecendo. Mas, nunca será perfeito, porque nem um desenvolvedor com décadas o consegue fazer. Agora que vai poupar horas de trabalho e dores de cabeça, isso vai. |
|
|
|
|
