Coreia do Norte hackeia programa ‘invisível’ que você provavelmente usa

Hackers vinculados à Coreia do Norte infectaram o Axios, uma das bibliotecas de software mais usadas no mundo, segundo o Google

Hackers ligados à Coreia do Norte conseguiram comprometer o Axios, uma das bibliotecas de software mais utilizadas globalmente, para distribuir códigos maliciosos em um ataque de alcance internacional.

O Google Threat Intelligence Group revelou na terça-feira (31) que os hackers inseriram uma dependência contaminada em atualizações legítimas da biblioteca Axios, com o objetivo de roubar credenciais de acesso e dados financeiros.

O incidente é classificado como um ataque à cadeia de suprimentos, uma técnica em que uma ferramenta de confiança é comprometida para atingir, de forma indireta, seus usuários.

Com mais de 100 milhões de downloads semanais e presente em cerca de 80% dos ambientes de nuvem, o Axios atua de forma invisível nos motores de sites e aplicativos, permitindo conexões de internet essenciais para o funcionamento de inúmeras aplicações web.

Grupo hacker usou contas de desenvolvedores para comprometer sistemas operacionais
A investigação conduzida pelo Google Threat Intelligence Group em conjunto com a Elastic Security revelou que o grupo UNC1069, ligado à Coreia do Norte, conseguiu obter acesso à conta de um dos principais mantenedores do projeto Axios no repositório GitHub.

Ao assumir o controle da conta, os invasores substituíram o e-mail do desenvolvedor original pelo endereço sob seu controle (ifstap@proton.me)), uma estratégia para dificultar a recuperação da conta e permitir a publicação de atualizações que simulavam versões oficiais.

Entre 00h21 e 03h20 UTC de terça-feira (equivalente a 21h21 de terça e 00h20 de quarta-feira, 1º, no horário de Brasília), os criminosos lançaram as versões 1.14.1 e 0.30.4 do Axios, incluindo a dependência maliciosa chamada “plain-crypto-js”.

Esse componente atua como um dropper, semelhante a um “cavalo de Troia”, que prepara silenciosamente o sistema para a instalação de um software espião ainda mais avançado, o backdoor WAVESHAPER.V2.

O malware foi desenvolvido para infectar sistemas Windows, macOS e Linux, funcionando como um Trojan de Acesso Remoto (RAT). Ele age como uma “chave mestra”, permitindo que os hackers executem comandos remotamente, acessem arquivos e roubem senhas, enviando os dados coletados para servidores externos a cada 60 segundos.

Para dificultar a análise de peritos digitais, o código malicioso foi programado para se autodeletar e restaurar os arquivos originais após concluir o processo de infecção.

Apesar de a biblioteca Axios ser amplamente utilizada em ambientes corporativos, a empresa de segurança Wiz detectou as versões contaminadas em aproximadamente 3% dos sistemas verificados até o momento, indicando um impacto significativo, mas ainda restrito, dentro do ecossistema global de software.


O histórico do grupo UNC1069 indica que seus ataques costumam mirar empresas de criptomoedas e plataformas de finanças descentralizadas, reforçando a avaliação da consultoria Mandiant de que o objetivo é financiar programas estatais da Coreia do Norte e contornar sanções internacionais.

“Os hackers norte-coreanos possuem ampla experiência em ataques à cadeia de suprimentos, especialmente com foco no roubo de criptomoedas”, afirmou John Hultquist, analista-chefe do grupo de inteligência de ameaças do Google Threat Intelligence Group, em comunicado oficial.

As atualizações maliciosas foram removidas dos repositórios oficiais cerca de três horas após a publicação. Mas o risco permanece para quem não atualizou seus sistemas imediatamente. 

Especialistas alertam que o incidente possui uma “cauda longa”, pois o código infectado pode persistir em projetos de software que utilizam o Axios como base. Isso prolonga a ameaça mesmo após a limpeza da fonte original.

“Sempre que você acessa um site, verifica seu saldo bancário ou abre um aplicativo no seu celular, há uma grande chance de o Axios estar rodando em segundo plano, fazendo tudo funcionar”, disse Tom Hegel, pesquisador sênior da SentinelOne.

Especialistas alertam que o incidente apresenta uma “cauda longa”, já que o código infectado pode permanecer em projetos de software que utilizam o Axios como dependência, estendendo a ameaça mesmo depois da limpeza da fonte original.

“Sempre que você acessa um site, verifica seu saldo bancário ou abre um aplicativo no celular, há grande probabilidade de que o Axios esteja rodando em segundo plano, garantindo que tudo funcione”, explicou Tom Hegel, pesquisador sênior da SentinelOne.

Fonte: Olhar Digital