Hackers norte-coreanos atacam biblioteca JavaScript com milhões de downloads
Por Marcelo Fischer Salvatico |
Um grupo de hackers vinculado à Coreia do Norte comprometeu o Axios, uma das bibliotecas JavaScript mais usadas do mundo, inserindo um código malicioso capaz de roubar dados em computadores com Windows, macOS e Linux.
- Campanha de phishing usa notificações falsas para roubar contas no LinkedIn
- IA na cibersegurança: como golpes que levavam dois anos agora levam 5 dias
O ataque durou cerca de três horas, entre 00h21 e 03h20 UTC do dia 31 de março de 2026, antes que as versões contaminadas fossem removidas. O Google atribuiu a ação ao grupo UNC1069, ativo desde pelo menos 2018 e responsável por bilhões em roubos de criptomoedas.
O pacote npm do Axios registra mais de dezenas de milhões de downloads semanais e está presente em aproximadamente 80% dos ambientes de nuvem e desenvolvimento, segundo estimativa da empresa de segurança Wiz. A empresa também identificou as versões maliciosas em cerca de 3% dos ambientes que varreu desde o incidente.
Os invasores tomaram o controle da conta do mantenedor do pacote npm e publicaram duas versões adulteradas. Cada uma delas incluía uma dependência maliciosa chamada "plain-crypto-js", que atuava como um dropper (um programa que baixa e executa outras ameaças).
Semanas de preparação e engenharia social
O ataque não foi improvisado. Em um relato publicado nesta segunda-feira (6), o mantenedor do projeto Axios, Jason Saayman, descreveu que os hackers iniciaram a abordagem cerca de duas semanas antes de obter acesso à sua máquina.
O grupo criou um workspace falso no Slack, perfis de funcionários fictícios e se passou por uma empresa real para ganhar a confiança de Saayman.
Em seguida, o convidaram para uma reunião virtual que exigiu a instalação de um programa apresentado como atualização necessária para acessar a chamada, na prática, um malware que deu acesso remoto ao computador do mantenedor.
Esse tipo de ataque de engenharia social, segundo o Google, é recorrente entre grupos norte-coreanos e já foi usado anteriormente para roubar criptomoedas.
Quem é o UNC1069
O Google Threat Intelligence Group (GTIG) atribuiu o ataque ao UNC1069 com base em dois elementos: o uso de uma versão atualizada do backdoor WAVESHAPER, já associado ao grupo, e sobreposições na infraestrutura de comando e controle com operações anteriores.
O UNC1069 é descrito pelo Google como um ator de ameaça com motivação financeira, historicamente focado em criptomoedas e finanças descentralizadas. A motivação específica por trás do ataque ao Axios ainda não está clara, pois não houve, até o momento, evidências de roubo direto de criptomoedas ou implantação de ransomware decorrentes do comprometimento.