Hackers norte-coreanos atacam npm do Axios com engenharia social via Teams
Hackers vinculados à Coreia do Norte, identificados como UNC1069, comprometeram a conta de um mantenedor do Axios em um ataque à cadeia de suprimentos via engenharia social sofisticada. Os atacantes simularam uma empresa legítima, usaram um workspace Slack falso e exploraram um erro no Microsoft Teams para instalar um RAT (Remote Access Trojan) através de uma dependência maliciosa chamada plain-crypto-js.
Ataque à cadeia de suprimentos do npm
As versões maliciosas do Axios (1.14.1 e 0.30.4) ficaram disponíveis no repositório npm por três horas antes da remoção. O ataque começou com uma campanha de phishing direcionada, onde o desenvolvedor foi induzido a baixar e executar um arquivo que instalou o malware. Isso permitiu que os hackers publicassem as versões comprometidas.
A escolha do Axios, um cliente HTTP amplamente utilizado em projetos JavaScript e Node.js, amplifica o impacto. Milhares de projetos podem ter baixado as versões maliciosas, expondo sistemas a acesso remoto não autorizado. A rápida detecção e remoção limitaram o dano, mas o incidente expõe vulnerabilidades sistêmicas.
Técnicas de engenharia social avançadas
Os hackers usaram uma abordagem multi-etapa: primeiro, criaram uma identidade falsa de recrutador de uma empresa de tecnologia legítima. Em seguida, convenceram o alvo a participar de uma entrevista via Microsoft Teams, onde exploraram uma vulnerabilidade para executar código. A instalação do RAT deu controle total sobre a máquina do desenvolvedor.
Esse método destaca a evolução dos ataques à cadeia de suprimentos, que agora combinam phishing, exploração de software e exploração de confiança em plataformas de comunicação. A dependência de ferramentas como Teams e Slack para trabalho remoto criou novos vetores de ataque que exploram o fator humano.
Lições para segurança de software
O incidente reforça a necessidade de autenticação rigorosa para publicações em repositórios como npm. Medidas como autenticação de dois fatores e verificação de commits são essenciais. Além disso, desenvolvedores devem ser treinados para reconhecer tentativas de engenharia social, mesmo em contextos profissionais.
Para empresas que usam Axios, a verificação imediata de versões e a auditoria de dependências são passos críticos. A comunidade de open-source precisa melhorar processos de verificação de identidade de mantenedores. Ataques como esse podem se tornar mais comuns, visando projetos populares para maximizar impacto.
Impacto na confiança no ecossistema open-source
A segurança da cadeia de suprimentos de software é um desafio crescente, com governos e empresas pressionando por padrões mais rigorosos. Este ataque ilustra como um único ponto de falha pode comprometer inúmeros projetos. A confiança em bibliotecas amplamente utilizadas deve ser equilibrada com práticas de segurança proativas.
No longo prazo, espera-se uma maior adoção de ferramentas de análise de dependências e assinatura de código. A indústria pode ver movimentos para regulamentação de práticas de segurança em repositórios públicos. Para desenvolvedores, a vigilância constante se torna parte integrante do fluxo de trabalho.