Um grupo de hackers vinculado à Coreia do Norte comprometeu o Axios, uma das bibliotecas JavaScript mais usadas do mundo, inserindo um código malicioso capaz de roubar dados em computadores com Windows, macOS e Linux. O ataque durou cerca de três horas, entre 00h21 e 03h20 UTC do dia 31 de março de 2026, antes que as versões contaminadas fossem removidas. O Google atribuiu a ação ao grupo UNC1069, ativo desde pelo menos 2018 e responsável por bilhões em roubos de criptomoedas.
Contexto e impacto da cadeia de suprimentos
O pacote npm do Axios registra mais de dezenas de milhões de downloads semanais e está presente em aproximadamente 80% dos ambientes de nuvem e desenvolvimento, segundo estimativa da empresa de segurança Wiz. A empresa também identificou as versões maliciosas em cerca de 3% dos ambientes que varreu desde o incidente. Os invasores tomaram o controle da conta do mantenedor do pacote npm e publicaram duas versões adulteradas.
Cada uma delas incluía uma dependência maliciosa chamada "plain-crypto-js", que atuava como um dropper (um programa que baixa e executa outras ameaças). Este incidente representa um risco significativo para a segurança do desenvolvimento de software, dado o alcance global da biblioteca Axios em aplicações web e de backend.
Semanas de preparação e engenharia social
O ataque não foi improvisado. Em um relato publicado nesta segunda-feira (6), o mantenedor do projeto Axios, Jason Saayman, descreveu que os hackers iniciaram a abordagem cerca de duas semanas antes de obter acesso à sua máquina. O grupo criou um workspace falso no Slack, perfis de funcionários fictícios e se passou por uma empresa real para ganhar a confiança de Saayman.
Em seguida, o convidaram para uma reunião virtual que exigiu a instalação de um programa apresentado como atualização necessária para acessar a chamada, na prática, um malware que deu acesso remoto ao computador do mantenedor. Esse tipo de ataque de engenharia social, segundo o Google, é recorrente entre grupos norte-coreanos e já foi usado anteriormente para roubar criptomoedas.
Quem é o UNC1069
O Google Threat Intelligence Group (GTIG) atribuiu o ataque ao UNC1069 com base em dois elementos: o uso de uma versão atualizada do backdoor WAVESHAPER, já associado ao grupo, e sobreposições na infraestrutura de comando e controle com operações anteriores. O UNC1069 é descrito pelo Google como um ator de ameaça com motivação financeira, historicamente focado em criptomoedas e finanças descentralizadas.
A motivação específica por trás do ataque ao Axios ainda não está clara, pois não houve, até o momento, evidências de roubo direto de criptomoedas ou implantação de ransomware decorrentes do comprometimento. No entanto, a capacidade de injetar código malicioso em uma biblioteca tão amplamente utilizada oferece oportunidades para espionagem, roubo de credenciais ou instalação de backdoors em larga escala.
Implicações para desenvolvedores e empresas
Este incidente destaca a necessidade crítica de verificação de integridade de pacotes npm e monitoramento de atividades suspeitas em repositórios de código. Desenvolvedores devem revisar as dependências de seus projetos e garantir que estejam utilizando as versões mais recentes e verificadas do Axios. Empresas devem considerar a implementação de políticas de segurança de software que incluam a verificação de assinaturas de pacotes e a análise de comportamento de dependências.
A exposição de credenciais e segredos em ambientes de desenvolvimento e produção é uma preocupação imediata. Equipes de segurança devem auditar os logs de acesso e verificar se há atividades anômalas relacionadas ao uso do Axios em seus sistemas.
Medidas de mitigação recomendadas
1. Atualize imediatamente o Axios para a versão mais recente que remove o código malicioso. 2. Revise o histórico de commits do repositório do Axios para identificar as versões afetadas. 3. Implemente verificações de integridade de pacotes em seu pipeline de CI/CD. 4. Monitore o tráfego de rede em busca de conexões suspeitas originadas de processos que utilizam o Axios. 5. Eduque os desenvolvedores sobre os riscos de engenharia social e a importância de verificar a identidade de contatos em plataformas como Slack.