Hackers associados à Coreia do Norte conseguiram infiltrar códigos maliciosos no Axios, uma das bibliotecas de software mais populares do mundo, desencadeando um ataque de alcance global.
De acordo com o Google Threat Intelligence Group (GTIG), que divulgou o caso na terça-feira (31), os criminosos inseriram uma dependência comprometida dentro de atualizações legítimas da ferramenta, com o objetivo de capturar credenciais de acesso e informações financeiras sensíveis.
Esse tipo de invasão é conhecido como ataque à cadeia de suprimentos, estratégia que explora softwares confiáveis para atingir usuários de forma indireta e em larga escala.
Com mais de 100 milhões de downloads por semana e presente em cerca de 80% dos ambientes em nuvem, o Axios opera nos bastidores de sites e aplicativos, sendo essencial para conexões de rede.
Hackers exploraram contas de desenvolvedores
Investigações conduzidas pelo Google e pela Elastic Security indicam que o grupo identificado como UNC1069 conseguiu acesso à conta de um dos principais mantenedores do projeto no GitHub.
Após assumir o controle, os invasores alteraram o e-mail do desenvolvedor para um endereço sob seu domínio, dificultando a recuperação da conta e permitindo a publicação de versões falsas que imitavam atualizações oficiais.
Durante um intervalo de poucas horas, os criminosos disponibilizaram versões adulteradas do Axios (1.14.1 e 0.30.4), incluindo a dependência maliciosa chamada “plain-crypto-js”.
Esse componente atuava como um “dropper”, preparando o sistema para a instalação de um malware mais avançado, o backdoor WAVESHAPER.V2.
Malware avançado e difícil de detectar
O código malicioso foi desenvolvido para atingir sistemas Windows, macOS e Linux, funcionando como um Trojan de Acesso Remoto (RAT). Esse tipo de ameaça permite controle remoto da máquina infectada, incluindo execução de comandos, acesso a arquivos e roubo de senhas.
As informações coletadas eram enviadas a servidores externos a cada 60 segundos. Para dificultar análises forenses, o malware ainda era capaz de se autodestruir e restaurar os arquivos originais após a infecção.
Apesar da ampla utilização do Axios, a empresa de segurança Wiz identificou as versões comprometidas em aproximadamente 3% dos ambientes analisados até agora.
Alvos e impacto do ataque
O histórico do grupo UNC1069 indica foco em empresas do setor de criptomoedas e finanças descentralizadas, reforçando a avaliação da Mandiant de que essas ações visam financiar atividades estatais da Coreia do Norte e contornar sanções internacionais.
Segundo John Hultquist, analista-chefe de inteligência de ameaças do Google, hackers norte-coreanos possuem ampla experiência nesse tipo de operação, especialmente quando o objetivo é o roubo de ativos digitais.
Embora as versões contaminadas tenham sido removidas dos repositórios oficiais poucas horas após sua publicação, o risco ainda persiste para sistemas que não foram atualizados.
Especialistas alertam para o chamado efeito de “cauda longa”, já que o código malicioso pode continuar presente em projetos que utilizam o Axios como base, prolongando a ameaça mesmo após a correção da origem.
Como destacou Tom Hegel, pesquisador da SentinelOne, o Axios está presente em grande parte das aplicações modernas — muitas vezes operando de forma invisível —, o que amplia significativamente o impacto potencial desse tipo de ataque.
