Biblioteca Axios é alvo de ataque sofisticado ligado à Coreia do Norte

Um ataque cibernético associado à Coreia do Norte comprometeu a biblioteca de código aberto Axios, um dos componentes mais utilizados no desenvolvimento de aplicações web, permitindo a possível distribuição de código malicioso através de sistemas considerados confiáveis.

Segundo a Reuters, o ataque consistiu na inserção de código malicioso numa actualização do software, amplamente utilizado para comunicação entre aplicações e servidores, levantando preocupações quanto ao impacto potencial em larga escala.

Novas informações indicam que o incidente terá começado com o comprometimento da conta de um dos principais mantenedores da biblioteca na plataforma npm, permitindo aos atacantes publicar versões adulteradas do pacote.

Essas versões, identificadas como axios@1.14.1 e axios@0.30.4, incluíam uma dependência maliciosa disfarçada, que instalava automaticamente um programa de acesso remoto (RAT) em sistemas Windows, macOS e Linux.

De acordo com especialistas em cibersegurança, o malware era capaz de estabelecer ligação com servidores controlados pelos atacantes e permitir o roubo de dados sensíveis, incluindo credenciais de acesso, podendo servir de porta de entrada para ataques subsequentes.

A operação é classificada como um ataque à cadeia de fornecimento (supply chain attack), uma das formas mais sofisticadas de intrusão digital, pois explora a confiança em componentes de software amplamente utilizados.

A atribuição do ataque foi feita pelo Google Threat Intelligence Group, que aponta para o grupo UNC1069, associado à Coreia do Norte e activo pelo menos desde 2018.

Segundo analistas, este grupo tem histórico de operações com motivação financeira, especialmente no roubo de criptomoedas, frequentemente utilizado para contornar sanções internacionais impostas ao regime norte-coreano.

Embora as versões comprometidas tenham estado disponíveis por um período limitado (cerca de duas a três horas), o número de sistemas potencialmente afectados ainda não é conhecido.

Especialistas recomendam que organizações que possam ter utilizado as versões afectadas considerem os seus sistemas comprometidos, procedam à rotação de credenciais e realizem auditorias de segurança completas.

O caso reforça as preocupações crescentes em torno da segurança do ecossistema de código aberto, numa altura em que ataques à cadeia de fornecimento se tornam mais frequentes e com impacto potencial global, dada a ampla adopção destas ferramentas por aplicações modernas.