Hackers vinculados à Coreia do Norte comprometeram o Axios, uma das bibliotecas de software mais utilizadas no mundo, para distribuir códigos maliciosos num ataque de escala global.
O Google Threat Intelligence Group (GTIG) revelou na terça-feira (31) que os invasores inseriram uma dependência contaminada em atualizações legítimas da ferramenta. O objetivo era roubar credenciais de acesso e dados financeiros.
A invasão é classificada como um ataque à cadeia de suprimentos, técnica que consiste em infectar uma ferramenta de confiança para atingir, de forma indireta, os seus usuários.
Com mais de 100 milhões de downloads semanais e presente em cerca de 80% dos ambientes de nuvem, a biblioteca Axios funciona de maneira invisível no motor de sites e aplicativos para permitir conexões de internet.
Grupo hacker usou contas de desenvolvedores para comprometer sistemas operacionais
A investigação detalhada pelo Google e pela empresa de segurança Elastic Security aponta que o grupo UNC1069 obteve acesso à conta de um dos principais mantenedores do projeto no repositório GitHub.
Ao assumir o controle, o invasor substituiu o e-mail do desenvolvedor original pelo endereço controlado pelos hackers (ifstap@proton.me). Foi uma manobra para dificultar a recuperação da conta e permitir a publicação de atualizações que imitavam versões oficiais.
Entre 00h21 e 3h20 UTC de terça (21h21 de terça e 00h20 desta quarta-feira, 1º, no horário de Brasília, respectivamente), os criminosos lançaram as versões 1.14.1 e 0.30.4 do Axios com a dependência maliciosa “plain-crypto-js”.
Este componente funciona como um dropper, analogia a um “cavalo de Troia” que, silenciosamente, prepara o sistema para a instalação de um software espião ainda mais potente, o backdoor identificado como WAVESHAPER.V2.
O malware foi projetado para infectar sistemas Windows, macOS e Linux, agindo como um Trojan de Acesso Remoto (RAT). Essa ferramenta funciona como uma “chave mestra” que permite aos hackers executar comandos à distância, vasculhar arquivos e roubar senhas, enviando os dados para servidores externos a cada 60 segundos.
Para dificultar o trabalho de peritos digitais, o código foi programado para se autodeletar e restaurar os arquivos originais após concluir a infecção.
Embora a biblioteca seja onipresente em ambientes corporativos, a empresa de segurança Wiz identificou as versões contaminadas em cerca de 3% dos ambientes verificados até o momento.
O histórico do grupo UNC1069 mostra que o alvo costuma ser empresas de criptomoedas e finanças descentralizadas. Isso reforça a análise da consultoria Mandiant de que o objetivo é financiar programas estatais da Coreia do Norte e contornar sanções internacionais.
“Os hackers norte-coreanos têm vasta experiência em ataques à cadeia de suprimentos, principalmente para roubar criptomoedas”, disse John Hultquist, analista-chefe do grupo de inteligência de ameaças do Google, em comunicado.
As atualizações maliciosas foram removidas dos repositórios oficiais cerca de três horas após a publicação. Mas o risco permanece para quem não atualizou seus sistemas imediatamente.
Especialistas alertam que o incidente possui uma “cauda longa”, pois o código infectado pode persistir em projetos de software que utilizam o Axios como base. Isso prolonga a ameaça mesmo após a limpeza da fonte original.
“Sempre que você acessa um site, verifica seu saldo bancário ou abre um aplicativo no seu celular, há uma grande chance de o Axios estar rodando em segundo plano, fazendo tudo funcionar”, disse Tom Hegel, pesquisador sênior da SentinelOne.
(Essa matéria também usou informações de Axios e Reuters.)
O post Coreia do Norte hackeia programa ‘invisível’ que você provavelmente usa apareceu primeiro em Olhar Digital.
