Ataque na maior biblioteca de JavaScript (NPM) com malware crypto

[alegotardo]

Denovo? parece até história repetida
Me lembro que no passado já teve um caso assim e novamente vem o mesmo problema... a confiança que se tem nas cadeias de suprimentos de software, a dependencia dessas bibliotecas e a necessidade louca que algumas pessoas tem em estar sempre atualizada com a última versão. Acho certo manter o software atualizado para se manter protegido de ataques explorados, mas também acho loucura automatizar isso ou até mesmo de forma manual atualizar para ter sempre a última versão logo no dia seguido em que ela é lançada.

Será que a IA já foi pra essa área de segurança? Acho que seria muito bacana ter algo automatizado que faça uma verificação automática de mudanças suspeitas nesses pacotes mais populares já que eles possuem milhões de downloads por semana e não tem como garantir que até mesmo com uma comunidade forte e ativa alguém vai conseguir perceber uma alteração maliciosa na hora, e mesmo que faça... em poucos minutos muitas pessoas já baixaram e provavelmente nunca mais devem atualizar.

[bitmover]

Não sei se vocês viram, mas o CEO da Coinbase falou recentemente que 40% dos códigos dos produtos deles (Coinbase, Base, etc) já é gerado por IA..

Fonte: https://x.com/brian_armstrong/status/1963315806248604035
Mais sobre: https://www.coinbase.com/en-gb/blog/Tools-for-Developer-Productivity-at-Coinbase

Obviamente muita gente ficou com o bug, digo, a pulga, atrás da orelha nos comentários..

Qualquer pessoa que programe minimamente já usa AI em basicamente 100% dos códigos, de alguma forma.

O proprio VSCODE ja preenche automaticamente os codigos pra voce usando AI, e funciona muito bem.

Quem não usa AI, trabalha muito mais devagar.

A pessoa continua tendo que ser um programador, para entender, saber o que pedir para a AI, avaliar, e montar um plano adequado de como fazer todo o código , as funcoes, ligar tudo no final e fazer funcionar.

Mas a AI aumenta em muito a produtividade

[non fungible anxiety]

Já resolveram? Já é seguro movimentar as wallets?

[joker_josue]

Já resolveram? Já é seguro movimentar as wallets?

Acho que o problema foi resolvido algum tempo.
A questão é saber se as wallets afetadas, já atualizaram a biblioteca ou não. Muitos devem ter desligado as atualizações automáticas das bibliotecas, e agora que o problema foi corrigido, tem de manualmente atualizar.

[sabotag3x]

Já resolveram? Já é seguro movimentar as wallets?

Sim, mas sempre bom revisar o endereço de destino.

[alexrossi]

Volto a dizer que essa questão das livrarias não é algo novo, lembro da vulnerabilidade do liblzma que foi publicado por um dev malévolo para infectar openssh. Não deu certo mas esses ataques são bem assustadores.

[non fungible anxiety]

Já resolveram? Já é seguro movimentar as wallets?

Acho que o problema foi resolvido algum tempo.
A questão é saber se as wallets afetadas, já atualizaram a biblioteca ou não. Muitos devem ter desligado as atualizações automáticas das bibliotecas, e agora que o problema foi corrigido, tem de manualmente atualizar.

Na thread do twitter tinham falando que só o ledger não tinha dado resposta se já arrumaram o problema, fui atrás no site deles e tinha muita pouca informação, depois de cavar muito vi um comentário que eles não tinham sido afetados, é complicado ficar no escuro assim... Tenho uma grana perdida com eles e essas coisas me dão vontade de até deixar numa exchange e aposentar esse pendrive superfaturado de vez.

[alegotardo]

Já resolveram? Já é seguro movimentar as wallets?

Cara, até onde eu vi... mais ou menos!

A comunidade ocnseguiu identificar e removeu todos os pacotes comprometidos ("todos" entre aspas né) e muitos mantenedores já trocaram suas chaves para eliminar o risco de segurança. mas.... ainda estão investigando esse ataque e é bem provável que surja novas infecções porque esse malware se auto-replica entre os pacotes que são mantidos pelo mesmo autor.

Assim, dos serviços mais famosos/principais acho que a situação tá controlada, mas no geral acho que a vulnerabilidade do sistema NPM ainda vai ficar sensível por algum tempo.... se puder evitar usar as wallets, eu evitaria.

[joker_josue]

Tenho uma grana perdida com eles e essas coisas me dão vontade de até deixar numa exchange e aposentar esse pendrive superfaturado de vez.

Não uses a wallet software deles. Usa as outras wallets que suportam a Ledger, e que eventualmente não tinham sido afetas por este problema.

Claro que quem esta sempre a usar varias coins, isso é mais complicado. Mas, pode sempre usar uma versão mais antiga do software.

[mikel_012]

Já resolveram? Já é seguro movimentar as wallets?

Acho que o problema foi resolvido algum tempo.
A questão é saber se as wallets afetadas, já atualizaram a biblioteca ou não. Muitos devem ter desligado as atualizações automáticas das bibliotecas, e agora que o problema foi corrigido, tem de manualmente atualizar.

Na thread do twitter tinham falando que só o ledger não tinha dado resposta se já arrumaram o problema, fui atrás no site deles e tinha muita pouca informação, depois de cavar muito vi um comentário que eles não tinham sido afetados, é complicado ficar no escuro assim... Tenho uma grana perdida com eles e essas coisas me dão vontade de até deixar numa exchange e aposentar esse pendrive superfaturado de vez.

Mas é mais provavel você perder as moedas em uma corretora que é atualizada sem solicitação do que em uma carteira propria onde você precisa atualizar o programa. Esse ataque só poderia acontecer se uma dessas carteiras ou sites atualizasse suas bibliotecas usadas para a versão mais recente que tinha um codigo escondido para roubar as moedas.

Como isso aconteceu só durante algumas horas a chance de você ser afetado era muito baixa.