Alerta de segurança: Roubo de chaves privadas através de dependências comprometidas no GitHub

Foi detectado um grave alerta de segurança que afeta desenvolvedores na plataforma GitHub. O projeto polymarket-copy-trading-bot foi comprometido com código malicioso que rouba automaticamente as chaves privadas das carteiras dos utilizadores durante a inicialização da aplicação. Este incidente representa uma ameaça significativa para quem tenha instalado ou utilizado este repositório.

Como ocorre o roubo de chaves

O mecanismo de ataque é sofisticado, mas eficaz. Quando o programa é iniciado, o código malicioso extrai automaticamente a chave privada armazenada no ficheiro .env do utilizador. Esta informação sensível é posteriormente exfiltrada para servidores controlados pelos atacantes através de um pacote de dependência aparentemente legítimo: @easynode/ethers-utils.

O ataque aproveita a confiança que os desenvolvedores depositam nas bibliotecas do npm. Ao integrar esta dependência comprometida, o código malicioso é executado silenciosamente sem que o utilizador perceba, roubando as suas credenciais criptográficas mais valiosas.

Identificação do código malicioso

O pacote malicioso utilizado neste ataque é identificado como @easynode/ethers-utils. O seu objetivo principal é interceptar a chave privada antes de ser utilizada pela aplicação legítima. Uma vez roubada, a informação é transmitida de forma encriptada para os servidores dos atacantes, permitindo-lhes aceder completamente aos ativos digitais da vítima.

Esta tática de injeção de código em dependências é particularmente perigosa porque muitos desenvolvedores não revisam o código fonte de todas as suas bibliotecas importadas, facilitando a propagação de ameaças de segurança.

Recomendações para proteger os seus ativos

Se utilizou o projeto polymarket-copy-trading-bot, é essencial agir imediatamente. Primeiro, pare todas as instâncias do programa e revise os seus ficheiros .env para verificar se as suas chaves privadas foram comprometidas. Considere que qualquer carteira vinculada a essas credenciais pode estar em risco.

Como medida preventiva adicional, antes de instalar qualquer pacote npm, verifique a sua reputação, revise o histórico de atualizações e as dependências incluídas. Utilize ferramentas de análise de segurança que possam detectar código malicioso em dependências antes de as executar no seu ambiente local.

Este alerta de segurança reforça a importância de manter práticas robustas de gestão de segredos e verificação de código em projetos de desenvolvimento. A comunidade do GitHub deve permanecer vigilante perante ameaças semelhantes de comprometimento de dependências.