Entrar
bukib
0 bukibs
Ashburn, Virginia
Hora local: 10:03
Temperatura: 14.3°C
Probabilidade de chuva: 0%

Hackers norte-coreanos atacam biblioteca JavaScript com milhões de downloads

Hackers norte-coreanos atacam biblioteca JavaScript com milhões de downloads

Um grupo de hackers vinculado à Coreia do Norte comprometeu o Axios, uma das bibliotecas JavaScript mais usadas do mundo, inserindo um código malicioso capaz de roubar dados em computadores com Windows, macOS e Linux.

O ataque durou cerca de três horas, entre 00h21 e 03h20 UTC do dia 31 de março de 2026, antes que as versões contaminadas fossem removidas. O Google atribuiu a ação ao grupo UNC1069, ativo desde pelo menos 2018 e responsável por bilhões em roubos de criptomoedas.

O pacote npm do Axios registra mais de dezenas de milhões de downloads semanais e está presente em aproximadamente 80% dos ambientes de nuvem e desenvolvimento, segundo estimativa da empresa de segurança Wiz. A empresa também identificou as versões maliciosas em cerca de 3% dos ambientes que varreu desde o incidente.

Modus operandi

Os invasores tomaram o controle da conta do mantenedor do pacote npm e publicaram duas versões adulteradas. Cada uma delas incluía uma dependência maliciosa chamada “plain-crypto-js”, que atuava como um dropper (um programa que baixa e executa outras ameaças).

O ataque não foi improvisado. Em um relato publicado, o mantenedor do projeto Axios descreveu que os hackers iniciaram a abordagem cerca de duas semanas antes de obter acesso à sua máquina.

  • Criaram um workspace falso no Slack
  • Perfis de funcionários fictícios
  • Se passaram por uma empresa real para ganhar a confiança do mantenedor

Em seguida, o convidaram para uma reunião virtual que exigiu a instalação de um programa apresentado como atualização necessária para acessar a chamada, na prática, um malware que deu acesso remoto ao computador do mantenedor.

Esse tipo de ataque de engenharia social, segundo o Google, é recorrente entre grupos norte-coreanos e já foi usado anteriormente para roubar criptomoedas.

Quem é o UNC1069

O Google Threat Intelligence Group (GTIG) atribuiu o ataque ao UNC1069 com base em dois elementos: o uso de uma versão atualizada do backdoor WAVESHAPER, já associado ao grupo, e sobreposições na infraestrutura de comando e controle com operações anteriores.

O UNC1069 é descrito pelo Google como um ator de ameaça com motivação financeira, historicamente focado em criptomoedas e finanças descentralizadas.

Este conteúdo pode conter links de compra.

Fonte: link