Um grupo de hackers, com ligações à Coreia do Norte, conseguiu comprometer a biblioteca JavaScript Axios, uma das mais populares do mundo. A ação permitiu a inserção de um código malicioso com a capacidade de roubar dados de computadores que utilizam sistemas Windows, macOS e Linux. O ataque, que durou cerca de três horas, ocorreu no dia 31 de março de 2026, e foi rapidamente contido com a remoção das versões contaminadas. A autoria do ataque foi atribuída pelo Google ao grupo UNC1069, conhecido por roubos de criptomoedas que somam bilhões de dólares desde 2018.
Detalhes do Ataque
O pacote npm do Axios registra dezenas de milhões de downloads por semana e está presente em aproximadamente 80% dos ambientes de nuvem e desenvolvimento. A empresa de segurança Wiz estima que as versões maliciosas foram encontradas em cerca de 3% dos ambientes analisados após o incidente. Os invasores conseguiram tomar o controle da conta do mantenedor do pacote npm e publicaram duas versões adulteradas, cada uma contendo uma dependência maliciosa chamada “plain-crypto-js”, que funcionava como um dropper, baixando e executando outras ameaças.
- Duração do ataque: Cerca de 3 horas, entre 00h21 e 03h20 UTC do dia 31 de março de 2026.
- Versões afetadas: Duas versões adulteradas do pacote npm do Axios.
- Dependência maliciosa: “plain-crypto-js”, atuando como um dropper.
Engenharia Social e Abordagem dos Hackers
O ataque não foi um ato impulsivo. Jason Saayman, o mantenedor do projeto Axios, relatou que os hackers iniciaram a abordagem cerca de duas semanas antes de obter acesso à sua máquina. O grupo criou um workspace falso no Slack, perfis de funcionários fictícios e se fez passar por uma empresa legítima para ganhar a confiança de Saayman. Posteriormente, convidaram-no para uma reunião virtual que exigia a instalação de um programa, apresentado como uma atualização necessária para acessar a chamada. Na realidade, tratava-se de um malware que concedeu acesso remoto ao computador do mantenedor.
- Tempo de preparação: Aproximadamente duas semanas de abordagem.
- Técnica utilizada: Engenharia social com criação de perfis falsos e workspace no Slack.
- Malware disfarçado: Programa apresentado como atualização para acesso à reunião virtual.
Atribuição ao Grupo UNC1069 e Motivações
O Google Threat Intelligence Group (GTIG) atribuiu o ataque ao UNC1069 com base em dois fatores principais: o uso de uma versão atualizada do backdoor WAVESHAPER, já associado ao grupo, e sobreposições na infraestrutura de comando e controle com operações anteriores. O UNC1069 é descrito pelo Google como um ator de ameaça com motivação financeira, historicamente focado em criptomoedas e finanças descentralizadas. No entanto, a motivação específica por trás do ataque ao Axios ainda não está clara, pois não houve evidências de roubo direto de criptomoedas ou implantação de ransomware decorrentes do comprometimento.
- Atribuição: Google Threat Intelligence Group (GTIG) atribui ao UNC1069.
- Evidências: Uso do backdoor WAVESHAPER e sobreposição na infraestrutura de comando e controle.
- Motivação: Histórico de foco em criptomoedas e finanças descentralizadas, mas motivação específica para este ataque ainda incerta.
Este incidente serve como um lembrete crítico da crescente sofisticação dos ataques cibernéticos e da importância de medidas de segurança robustas, incluindo a verificação cuidadosa de atualizações de software e a desconfiança em abordagens inesperadas, especialmente aquelas que solicitam a instalação de software.