Hackers norte-coreanos sequestraram o Axios em um ataque de cadeia de suprimentos que levou semanas para ser configurado
Um projeto amplamente utilizado transformado em vetor de ciberataque
Uma operação cibernética norte-coreana sequestrou brevemente o Axios, um dos projetos de código aberto mais amplamente utilizados na web, em um ataque em 31 de março que parece ter levado semanas para ser planejado. O comprometimento ressalta como hackers apoiados por estados estão cada vez mais visando infraestruturas de software confiáveis, onde uma única violação pode se espalhar por milhares de sistemas.
Axios é uma popular biblioteca JavaScript usada por desenvolvedores para conectar aplicativos à internet. Como está presente em tantas construções de software, um comprometimento do projeto pode ter consequências muito além do próprio projeto. Neste caso, as atualizações maliciosas ficaram ativas por apenas cerca de três horas antes de serem removidas, mas essa janela ainda pode ter sido suficiente para infectar milhares de sistemas.
O ataque foi documentado em uma análise post-mortem por Jason Saayman, que mantém o projeto e detalhou a linha do tempo do comprometimento. De acordo com Saayman, os atacantes começaram a visá-lo cerca de duas semanas antes de ganharem controle de seu computador e o usarem para publicar código malicioso.
Um golpe longo construído na confiança
A operação dependeu menos de força bruta e mais de paciência. Saayman disse que os atacantes se passaram por uma empresa real, criaram um espaço de trabalho convincente no Slack e o preencheram com perfis de funcionários falsos para fazer a farsa parecer legítima. Eles então o convidaram para uma reunião na web que o levou a baixar malware disfarçado de uma atualização necessária para participar da chamada.
Saayman disse que a isca correspondia a uma técnica anteriormente associada a hackers norte-coreanos e identificada por pesquisadores de segurança do Google: uma abordagem de engenharia social que convence os alvos a instalar software que concede acesso remoto aos atacantes. Neste caso, esse acesso parece ter sido a chave para impulsionar os lançamentos maliciosos do Axios.
O incidente ilustra por que os mantenedores de código aberto se tornaram alvos de tão alto valor. Projetos populares são frequentemente mantidos por pequenas equipes ou até mesmo por um único desenvolvedor, mas podem ser incorporados em inúmeros aplicativos e serviços. Isso torna os dispositivos pessoais dos mantenedores um ponto de entrada atraente para atacantes que buscam comprometer software em larga escala.
O risco se estende muito além de um projeto
Proteja sua privacidade com o Doppler VPN
3 dias de teste grátis. Sem cadastro. Sem registros.
Os pacotes maliciosos do Axios foram removidos rapidamente, mas não antes de terem a chance de se espalhar. Qualquer sistema que instalou uma das versões comprometidas durante a breve janela de exposição pode ter sido vulnerável ao roubo de chaves privadas, credenciais e senhas armazenadas nessa máquina. Esses segredos roubados podem então ser usados para se aprofundar em outros sistemas e serviços, transformando um incidente na cadeia de suprimentos de software em uma violação mais ampla.
Essa possibilidade é o que torna esse tipo de ataque tão preocupante. A vítima imediata pode ser o laptop de um desenvolvedor ou um único repositório de pacotes, mas o alvo eventual pode ser muito mais amplo: os usuários e organizações que confiam no projeto como parte de sua própria pilha de software.
O incidente do Axios também se encaixa em um padrão mais amplo. Hackers norte-coreanos permanecem entre as ameaças cibernéticas mais ativas na internet, e têm sido repetidamente ligados a operações que combinam engenharia social, roubo de credenciais e malware de acesso remoto. Suas campanhas frequentemente borram a linha entre espionagem e crime financeiramente motivado, com o roubo de criptomoedas sendo frequentemente parte da mistura.
Um manual familiar, um aviso maior
O que faz este último comprometimento se destacar não é apenas o alvo, mas a maneira metódica como se desenrolou. Os atacantes não exploraram simplesmente uma falha técnica no código do projeto. Eles investiram tempo na construção de uma identidade crível, ganhando a confiança do mantenedor e, eventualmente, obtendo acesso à máquina usada para publicar atualizações oficiais.
Essa abordagem destaca uma realidade difícil para os ecossistemas de código aberto: a segurança de softwares amplamente utilizados depende não apenas da revisão de código e do monitoramento de pacotes, mas também das defesas pessoais das pessoas que mantêm o código. À medida que hackers patrocinados por estados e grupos criminosos continuam a visar esses mantenedores, a própria cadeia de suprimentos se torna uma linha de frente no conflito cibernético.
Saayman não respondeu imediatamente a perguntas de acompanhamento sobre o incidente. O escopo total do comprometimento ainda está sendo avaliado, mas a lição já está clara: quando um software confiável é sequestrado, o raio de impacto pode se estender muito além do projeto que foi violado.
Fontes: