Falha em pacote npm do Axios permitiu invasão de conta de mantenedor

Tipo principal do conteúdo: Cibersegurança

Resumo jornalístico:

Os mantenedores do Axios, um dos clientes HTTP mais populares para JavaScript, divulgaram um relatório detalhado sobre um ataque sofisticado de engenharia social que resultou na publicação de versões maliciosas do pacote na plataforma npm. O incidente foi orquestrado por agentes ligados ao grupo norte-coreano UNC1069, que utilizaram técnicas avançadas para comprometer a conta de um dos desenvolvedores do projeto.

O ataque começou com a criação de ambientes falsos em plataformas como Slack e Microsoft Teams, onde os atacantes se passaram por representantes de empresas legítimas. Durante uma videoconferência simulada, a vítima foi induzida a instalar uma atualização falsa do Teams, que na verdade era um trojan de acesso remoto (RAT). Com o controle do dispositivo, os invasores conseguiram credenciais de acesso ao npm, permitindo a publicação de versões do Axios contendo uma dependência maliciosa capaz de afetar sistemas Windows, macOS e Linux.

As versões comprometidas ficaram disponíveis por cerca de três horas, tempo suficiente para que sistemas que as instalaram fossem potencialmente comprometidos. O ataque não envolveu alterações no código-fonte do Axios, mas sim a injeção de uma dependência maliciosa em versões legítimas do pacote. Após a detecção, os responsáveis pelo Axios realizaram a limpeza dos sistemas afetados, redefiniram credenciais e anunciaram medidas para reforçar a segurança e evitar novos incidentes.

A campanha evidenciou uma tendência crescente de ataques à cadeia de suprimentos de software, com foco em projetos de alto impacto e grande alcance. Pesquisadores destacam que métodos de engenharia social, combinados com a exploração de plataformas de comunicação e autenticação, representam riscos significativos para o ecossistema de software open source, exigindo vigilância e práticas de segurança aprimoradas por parte dos mantenedores.