Um hacker sequestrou e modificou uma popular ferramenta de desenvolvimento de software de código aberto para entregar malware que poderia colocar milhões de desenvolvedores em risco de serem comprometidos.
Na segunda-feira, um hacker lançou versões maliciosas da biblioteca JavaScript amplamente usada chamada Axios, na qual os desenvolvedores confiam para permitir que seu software se conecte à Internet. A biblioteca afetada foi hospedado em npmum repositório de software que armazena código para projetos de código aberto. Axios foi baixado dezenas de milhões de vezes toda semana.
O sequestro foi detectado e interrompido em cerca de três horas da noite de segunda para terça, de acordo com a empresa de segurança StepSecurity, que analisou o ataque.
Os hackers têm cada vez mais como alvo os desenvolvedores de projetos populares de código aberto, em um esforço para hackear em massa qualquer pessoa que dependa do código comprometido, potencialmente concedendo aos hackers acesso a um grande número de dispositivos afetados. Esses tipos de violações generalizadas são chamados de ataques à cadeia de suprimentos porque têm como alvo software que permite que hackers hackeiem quem baixou o software comprometido. Nos últimos anos, os hackers têm como alvo empresas como 3CX, Kaseya e SolarWinds, bem como ferramentas de código aberto como Log4j e Polyfill.io, para atingir um grande número de seus usuários.
Não está claro neste momento quantas pessoas baixaram a versão maliciosa do Axios durante esse período. A empresa de segurança Aikido, que também investigou o incidentedisse que qualquer pessoa que baixou o código “deve presumir que seu sistema está comprometido”.
Contate-nos
Você tem mais informações sobre esse hack? Ou outros ataques à cadeia de abastecimento? A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram, Keybase e Wire @lorenzofb, ou por e-mail.
O hacker conseguiu inserir código malicioso dentro do Axios comprometendo a conta de um dos principais desenvolvedores do projeto, que estava autorizado a enviar atualizações. O hacker substituiu o endereço de e-mail do desenvolvedor legítimo na conta pelo seu próprio, tornando mais difícil para o desenvolvedor recuperar o acesso.
Uma vez no controle da conta, o hacker inseriu um código malicioso projetado para entregar um trojan de acesso remoto, ou RAT – essencialmente malware que pode dar aos hackers controle remoto total do computador da vítima. O hacker então lançou novas versões do Axios em uma atualização de aparência legítima para usuários de Windows, macOS e Linux.
Evento Techcrunch
São Francisco, Califórnia
|
13 a 15 de outubro de 2026
Os hackers também projetaram o malware, bem como parte do código usado para entregá-lo, para se excluir automaticamente após a instalação, na tentativa de se esconder de mecanismos antimalware e investigadores, de acordo com pesquisadores de segurança.
