Ataque Cibernético a Desenvolvedores do axios: Táticas de Engenharia Social em Ação
No dia 31 de março de 2026, atores de ameaças relacionados à Coreia do Norte lançaram um ataque sofisticado que comprometeu o axios, uma das bibliotecas JavaScript mais utilizadas globalmente. Os invasores publicaram versões malignas no npm, repositório central de pacotes do ecossistema Node.js, instalando um trojan em sistemas de desenvolvedores que baixaram as atualizações naquele dia. A investigação é conduzida pela CrowdStrike.
Engenharia Social Usada como Vetor do Ataque
O ataque não resultou de uma falha técnica no axios, mas sim de uma campanha de engenharia social dirigida ao mantenedor principal, Jason Saayman. Os atacantes, utilizando táticas de manipulação humana, se passaram por uma empresa legítima, criando um ambiente convincente no Slack com canais falsos e perfis simulados.
Durante uma videoconferência, uma mensagem de erro foi exibida na tela de Saayman, garantindo que uma atualização do Microsoft Teams precisava ser instalada. Contudo, o que parecia ser uma atualização inofensiva era, na verdade, um malware que proporcionou aos atacantes controle remoto sobre o seu dispositivo.
Infiltração Maliciosa e Publicação de Versões Comprometidas
Com acesso autenticado à conta npm, os invasores publicaram duas versões do axios, as quais incluíam uma dependência adicional chamada plain-crypto-js. Esse pacote malicioso era automaticamente baixado quando as versões comprometidas do axios eram instaladas, comprometendo assim sistemas sem que os desenvolvedores tivessem ciência do que estava ocorrendo.
Esse ataque ficou ativo por cerca de três horas, tempo suficiente para que vários desenvolvedores fossem afetados. Os sistemas que instalaram as versões contaminadas devem ser considerados comprometidos, com necessidade de uma revisão imediata de todas as credenciais envolvidas.
Uma Campanha Mais Ampla de Ataques
Além do axios, a empresa de segurança Socket evidenciou que o ataque não foi um evento isolado. Múltiplos desenvolvedores relataram abordagens semelhantes através de plataformas como LinkedIn e Slack. A natureza orquestrada do ataque sugere que os invasores estavam mapeando alvos de impacto significativo no ecossistema de desenvolvimento.
De acordo com as atribuições do Google Threat Intelligence Group e da CrowdStrike, o ataque foi associado a grupos de hackers norte-coreanos, que utilizam técnicas cada vez mais sofisticadas para facilitar suas operações.
Implicações Futuras e Recomendações de Segurança
As medidas de segurança implementadas pelos mantenedores do axios são críticas para prevenir a repetição de incidentes semelhantes. O incidente ressalta a importância de uma abordagem proativa à segurança na cadeia de suprimentos de software, especialmente em um momento em que ataques dessa natureza estão se tornando cada vez mais comuns.
Para manter-se atualizado sobre questões de segurança e tecnologia, siga a TecMania nas redes sociais e inscreva-se em nosso boletim informativo.