Um suspeito de ligação com hackers norte-coreanos comprometeu uma das ferramentas de código aberto mais utilizadas no desenvolvimento de software, inserindo código malicioso capaz de colocar milhões de desenvolvedores em risco.
O incidente ocorreu quando versões adulteradas da popular biblioteca JavaScript Axios foram publicadas no npm, repositório amplamente utilizado para distribuição de pacotes open source. A biblioteca é essencial para aplicações que precisam se conectar à internet e registra dezenas de milhões de downloads semanais.
De acordo com a empresa de segurança StepSecurity, o ataque foi identificado e contido em cerca de três horas entre a noite de segunda-feira e a madrugada de terça-feira. Ainda assim, o tempo foi suficiente para gerar preocupação entre especialistas devido ao potencial alcance da ameaça.
Esse tipo de invasão faz parte de uma estratégia crescente conhecida como ataque à cadeia de suprimentos, em que criminosos comprometem ferramentas amplamente utilizadas para atingir um grande número de usuários indiretamente. Casos semelhantes já afetaram empresas e projetos relevantes como 3CX, Kaseya, SolarWinds, Log4j e Polyfill.io.
Ainda não há confirmação sobre quantos usuários baixaram as versões comprometidas do Axios durante o período em que ficaram disponíveis. A empresa Aikido alertou que qualquer pessoa que tenha feito o download deve considerar seu sistema potencialmente comprometido.
Pesquisadores de segurança do Google associaram o ataque a um grupo rastreado como UNC1069, possivelmente ligado à Coreia do Norte. Segundo especialistas, esse tipo de grupo tem histórico em ataques desse tipo, frequentemente com o objetivo de roubo de criptomoedas.
A invasão foi possível após o comprometimento da conta de um dos principais desenvolvedores do Axios. O invasor alterou o e-mail vinculado à conta, dificultando a recuperação do acesso legítimo e permitindo a publicação de versões maliciosas do pacote.
O código inserido incluía um trojan de acesso remoto (RAT), capaz de conceder controle total do sistema infectado ao atacante. As versões adulteradas foram distribuídas como atualizações aparentemente legítimas, afetando usuários de Windows, macOS e Linux.
Para dificultar a detecção, o malware e parte do código utilizado na sua distribuição foram programados para se autodestruir após a instalação, evitando a identificação por ferramentas de segurança e análises posteriores.
Especialistas alertam que o impacto completo do incidente ainda é desconhecido, mas, devido à ampla adoção do Axios, os efeitos podem ser significativos e de longo alcance.
