{"id":2651,"date":"2026-04-07T14:00:28","date_gmt":"2026-04-07T17:00:28","guid":{"rendered":"https:\/\/audiview.com.br\/news\/genio-do-mal-hackers-norte-coreanos-enganam-um-so-desenvolvedor-e-derrubam-gigantes-da-web-com-tatica-chocante\/"},"modified":"2026-04-07T14:00:28","modified_gmt":"2026-04-07T17:00:28","slug":"genio-do-mal-hackers-norte-coreanos-enganam-um-so-desenvolvedor-e-derrubam-gigantes-da-web-com-tatica-chocante","status":"publish","type":"post","link":"https:\/\/audiview.com.br\/news\/genio-do-mal-hackers-norte-coreanos-enganam-um-so-desenvolvedor-e-derrubam-gigantes-da-web-com-tatica-chocante\/","title":{"rendered":"G\u00eanio do Mal! Hackers Norte-Coreanos Enganam UM S\u00d3 Desenvolvedor e Derrubam Gigantes da Web com T\u00e1tica Chocante!"},"content":{"rendered":"<p>Em um golpe de aud\u00e1cia e precis\u00e3o que abalou a comunidade de desenvolvimento, hackers supostamente ligados \u00e0 Coreia do Norte conseguiram comprometer duas das mais utilizadas plataformas do ecossistema JavaScript, Axios e NPM. O incidente, revelado pela investiga\u00e7\u00e3o da CrowdStrike, destaca uma campanha de engenharia social de tirar o f\u00f4lego que visou um \u00fanico indiv\u00edduo, expondo a vulnerabilidade humana como o elo mais fraco na seguran\u00e7a cibern\u00e9tica.<\/p>\n<p>O ataque ocorreu em 31 de mar\u00e7o de 2026, quando atores de amea\u00e7a publicaram vers\u00f5es maliciosas no npm, o reposit\u00f3rio central de pacotes para Node.js, comprometendo o Axios, uma das bibliotecas JavaScript mais populares globalmente. A estrat\u00e9gia n\u00e3o explorou falhas t\u00e9cnicas, mas sim a manipula\u00e7\u00e3o psicol\u00f3gica, tendo como alvo Jason Saayman, o mantenedor principal da biblioteca.<\/p>\n<p>A campanha de engenharia social foi meticulosamente orquestrada. Os atacantes criaram uma empresa falsa, clonando sua identidade visual e estabelecendo um workspace no Slack com perfis de funcion\u00e1rios e postagens no LinkedIn falsificadas, tudo para conferir um ar de legitimidade. A encena\u00e7\u00e3o era t\u00e3o convincente que Saayman n\u00e3o desconfiou, aceitando um convite para uma videochamada.<\/p>\n<p>Durante a reuni\u00e3o virtual, o golpe atingiu seu cl\u00edmax. Uma falsa mensagem de erro foi exibida na tela de Saayman, alegando uma desatualiza\u00e7\u00e3o no sistema. A solu\u00e7\u00e3o proposta era a instala\u00e7\u00e3o de uma &#8216;atualiza\u00e7\u00e3o do Microsoft Teams&#8217;, que, na verdade, era um RAT (Trojan de Acesso Remoto). Este tipo de ataque, conhecido como ClickFix, induz a v\u00edtima a executar uma a\u00e7\u00e3o maliciosa sem perceber, e foi assim que os criminosos obtiveram acesso \u00e0s credenciais de Saayman para publicar no npm.<\/p>\n<p>A amplitude da campanha ficou clara quando outros mantenedores de projetos importantes, como Pelle Wessman do framework de testes Mocha, relataram abordagens id\u00eanticas. Eles tamb\u00e9m foram convidados para videochamadas e solicitados a instalar softwares ou executar comandos no terminal. A recusa desses desenvolvedores em seguir as instru\u00e7\u00f5es dos atacantes resultou no encerramento imediato do contato e na exclus\u00e3o de todas as conversas pelos criminosos.<\/p>\n<p>Com acesso autenticado, os hackers publicaram as vers\u00f5es 1.14.1 e 0.30.4 do axios, que inclu\u00edam uma depend\u00eancia extra maliciosa chamada plain-crypto-js. Desenvolvedores que atualizaram o pacote nesse per\u00edodo automaticamente baixaram o componente nocivo. As vers\u00f5es comprometidas ficaram dispon\u00edveis por aproximadamente tr\u00eas horas, e a estrat\u00e9gia dos atacantes foi &#8216;contaminar a embalagem, n\u00e3o o produto&#8217;, infectando a cadeia de suprimentos de software. A recomenda\u00e7\u00e3o \u00e9 clara: sistemas que instalaram essas vers\u00f5es devem ser considerados comprometidos e todas as credenciais devem ser imediatamente rotacionadas.<\/p>\n<p>A investiga\u00e7\u00e3o revelou que o comprometimento do axios n\u00e3o foi um incidente isolado. A firma de seguran\u00e7a Socket identificou que m\u00faltiplos desenvolvedores, incluindo contribuidores do n\u00facleo do Node.js, foram alvos de abordagens com o mesmo modus operandi. O contato via LinkedIn ou Slack, convites para workspaces privados, videochamadas com erros fabricados e pedidos para instala\u00e7\u00e3o de software ou execu\u00e7\u00e3o de comandos eram o roteiro padr\u00e3o. O fato de os mantenedores visados serem respons\u00e1veis por pacotes com bilh\u00f5es de downloads semanais sugere que os atacantes estavam focando em alvos de alto impacto.<\/p>\n<p>A atribui\u00e7\u00e3o do ataque aponta para grupos norte-coreanos. O Google Threat Intelligence Group conecta o incidente ao UNC1069, um grupo com motiva\u00e7\u00e3o financeira ativo desde 2018, citando o uso do malware WAVESHAPER.V2. J\u00e1 a CrowdStrike atribui ao STARDUST CHOLLIMA, com base no implante ZshBucket e sobreposi\u00e7\u00f5es de infraestrutura. Essas atribui\u00e7\u00f5es n\u00e3o s\u00e3o contradit\u00f3rias, pois grupos norte-coreanos frequentemente compartilham infraestrutura, e os nomes podem se referir ao mesmo conjunto de atividades. A confian\u00e7a da CrowdStrike \u00e9 moderada, com ind\u00edcios de envolvimento do FAMOUS CHOLLIMA, outro subgrupo norte-coreano conhecido pelo abuso de reposit\u00f3rios npm.<\/p>\n<p>Tecnicamente, o implante ZshBucket, antes observado apenas em sistemas macOS, foi identificado com variantes funcionais para Linux e Windows neste incidente. Houve tamb\u00e9m uma atualiza\u00e7\u00e3o no protocolo de comunica\u00e7\u00e3o e novos comandos que permitem a execu\u00e7\u00e3o remota de scripts, inje\u00e7\u00e3o de payloads e enumera\u00e7\u00e3o do sistema de arquivos. Essa evolu\u00e7\u00e3o t\u00e9cnica, combinada com a escala da campanha de engenharia social, \u00e9 consistente com o aumento do ritmo operacional do STARDUST CHOLLIMA desde o final de 2025. Os mantenedores do axios confirmaram que os sistemas afetados foram limpos e que medidas est\u00e3o sendo implementadas para evitar incidentes futuros.<\/p>\n<p><small>Fonte: TECNOLOGIA &#8211; Tecmundo<\/small><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hackers norte-coreanos empregaram engenharia social avan\u00e7ada para comprometer Axios e NPM, visando apenas um mantenedor principal e distribuindo malware em vers\u00f5es falsas. Descubra como essa sofisticada campanha impactou o ecossistema Node.js.<\/p>\n","protected":false},"author":1,"featured_media":2650,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_uag_custom_page_level_css":"","_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[5],"tags":[2018,172,1363,1938],"class_list":["post-2651","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-ataque-npm","tag-ciberseguranca","tag-coreia-do-norte","tag-engenharia-social"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/audiview.com.br\/news\/wp-content\/uploads\/2026\/04\/news-1775581225.png","uagb_featured_image_src":{"full":["https:\/\/audiview.com.br\/news\/wp-content\/uploads\/2026\/04\/news-1775581225.png",96,96,false],"thumbnail":["https:\/\/audiview.com.br\/news\/wp-content\/uploads\/2026\/04\/news-1775581225.png",96,96,false],"medium":["https:\/\/audiview.com.br\/news\/wp-content\/uploads\/2026\/04\/news-1775581225.png",96,96,false],"medium_large":["https:\/\/audiview.com.br\/news\/wp-content\/uploads\/2026\/04\/news-1775581225.png",96,96,false],"large":["https:\/\/audiview.com.br\/news\/wp-content\/uploads\/2026\/04\/news-1775581225.png",96,96,false],"1536x1536":["https:\/\/audiview.com.br\/news\/wp-content\/uploads\/2026\/04\/news-1775581225.png",96,96,false],"2048x2048":["https:\/\/audiview.com.br\/news\/wp-content\/uploads\/2026\/04\/news-1775581225.png",96,96,false]},"uagb_author_info":{"display_name":"admin","author_link":"https:\/\/audiview.com.br\/news\/author\/admin\/"},"uagb_comment_info":0,"uagb_excerpt":"Hackers norte-coreanos empregaram engenharia social avan\u00e7ada para comprometer Axios e NPM, visando apenas um mantenedor principal e distribuindo malware em vers\u00f5es falsas. Descubra como essa sofisticada campanha impactou o ecossistema Node.js.","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/posts\/2651","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/comments?post=2651"}],"version-history":[{"count":0,"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/posts\/2651\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/media\/2650"}],"wp:attachment":[{"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/media?parent=2651"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/categories?post=2651"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/tags?post=2651"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}