Em um golpe de audácia e precisão que abalou a comunidade de desenvolvimento, hackers supostamente ligados à Coreia do Norte conseguiram comprometer duas das mais utilizadas plataformas do ecossistema JavaScript, Axios e NPM. O incidente, revelado pela investigação da CrowdStrike, destaca uma campanha de engenharia social de tirar o fôlego que visou um único indivíduo, expondo a vulnerabilidade humana como o elo mais fraco na segurança cibernética.

O ataque ocorreu em 31 de março de 2026, quando atores de ameaça publicaram versões maliciosas no npm, o repositório central de pacotes para Node.js, comprometendo o Axios, uma das bibliotecas JavaScript mais populares globalmente. A estratégia não explorou falhas técnicas, mas sim a manipulação psicológica, tendo como alvo Jason Saayman, o mantenedor principal da biblioteca.

A campanha de engenharia social foi meticulosamente orquestrada. Os atacantes criaram uma empresa falsa, clonando sua identidade visual e estabelecendo um workspace no Slack com perfis de funcionários e postagens no LinkedIn falsificadas, tudo para conferir um ar de legitimidade. A encenação era tão convincente que Saayman não desconfiou, aceitando um convite para uma videochamada.

Durante a reunião virtual, o golpe atingiu seu clímax. Uma falsa mensagem de erro foi exibida na tela de Saayman, alegando uma desatualização no sistema. A solução proposta era a instalação de uma ‘atualização do Microsoft Teams’, que, na verdade, era um RAT (Trojan de Acesso Remoto). Este tipo de ataque, conhecido como ClickFix, induz a vítima a executar uma ação maliciosa sem perceber, e foi assim que os criminosos obtiveram acesso às credenciais de Saayman para publicar no npm.

A amplitude da campanha ficou clara quando outros mantenedores de projetos importantes, como Pelle Wessman do framework de testes Mocha, relataram abordagens idênticas. Eles também foram convidados para videochamadas e solicitados a instalar softwares ou executar comandos no terminal. A recusa desses desenvolvedores em seguir as instruções dos atacantes resultou no encerramento imediato do contato e na exclusão de todas as conversas pelos criminosos.

Com acesso autenticado, os hackers publicaram as versões 1.14.1 e 0.30.4 do axios, que incluíam uma dependência extra maliciosa chamada plain-crypto-js. Desenvolvedores que atualizaram o pacote nesse período automaticamente baixaram o componente nocivo. As versões comprometidas ficaram disponíveis por aproximadamente três horas, e a estratégia dos atacantes foi ‘contaminar a embalagem, não o produto’, infectando a cadeia de suprimentos de software. A recomendação é clara: sistemas que instalaram essas versões devem ser considerados comprometidos e todas as credenciais devem ser imediatamente rotacionadas.

A investigação revelou que o comprometimento do axios não foi um incidente isolado. A firma de segurança Socket identificou que múltiplos desenvolvedores, incluindo contribuidores do núcleo do Node.js, foram alvos de abordagens com o mesmo modus operandi. O contato via LinkedIn ou Slack, convites para workspaces privados, videochamadas com erros fabricados e pedidos para instalação de software ou execução de comandos eram o roteiro padrão. O fato de os mantenedores visados serem responsáveis por pacotes com bilhões de downloads semanais sugere que os atacantes estavam focando em alvos de alto impacto.

A atribuição do ataque aponta para grupos norte-coreanos. O Google Threat Intelligence Group conecta o incidente ao UNC1069, um grupo com motivação financeira ativo desde 2018, citando o uso do malware WAVESHAPER.V2. Já a CrowdStrike atribui ao STARDUST CHOLLIMA, com base no implante ZshBucket e sobreposições de infraestrutura. Essas atribuições não são contraditórias, pois grupos norte-coreanos frequentemente compartilham infraestrutura, e os nomes podem se referir ao mesmo conjunto de atividades. A confiança da CrowdStrike é moderada, com indícios de envolvimento do FAMOUS CHOLLIMA, outro subgrupo norte-coreano conhecido pelo abuso de repositórios npm.

Tecnicamente, o implante ZshBucket, antes observado apenas em sistemas macOS, foi identificado com variantes funcionais para Linux e Windows neste incidente. Houve também uma atualização no protocolo de comunicação e novos comandos que permitem a execução remota de scripts, injeção de payloads e enumeração do sistema de arquivos. Essa evolução técnica, combinada com a escala da campanha de engenharia social, é consistente com o aumento do ritmo operacional do STARDUST CHOLLIMA desde o final de 2025. Os mantenedores do axios confirmaram que os sistemas afetados foram limpos e que medidas estão sendo implementadas para evitar incidentes futuros.

Fonte: TECNOLOGIA – Tecmundo