Já se perguntou por que a rede de segurança do seu código parece queijo suíço?
Hackers norte-coreanos, rastreados como UNC1069, acabaram de expor isso. Eles não atacaram o pacote Axios no npm na base da força bruta. Não, jogaram o longo prazo — usando engenharia social pra fazer o próprio mantenedor entregar as chaves.
Jason Saayman, o cara por trás do Axios, contou tudo num post-mortem cru. Os atacantes clonaram o fundador de uma empresa legítima, com a cara e tudo, e o atraíram pra um espaço de trabalho falso no Slack. Marcado direitinho, com canais de CI e compartilhamentos do LinkedIn que gritavam autenticidade.
Aí vem a melhor parte.
Eles agendaram uma chamada no Teams. Ele entra — bum, erro falso: ‘Atualize seu sistema.’ Clique, e um trojan de acesso remoto entra de fininho. Credenciais roubadas. Duas versões envenenadas publicadas: 1.14.1 e 0.30.4, recheadas com o spyware WAVESHAPER.V2.
“Tudo foi extremamente bem coordenado, parecia legítimo e feito de forma profissional,” acrescentou Saayman.
Coordenado? Eufemismo. Isso segue o manual do UNC1069 — com sobreposições às táticas da BlueNoroff que Huntress e Kaspersky mapearam no ano passado. GhostCall, eles chamaram. Fundadores de crypto, VCs: alvos antigos. Agora? Mantenedores de open source.
Como o UNC1069 Derrubou o Mantenedor do Axios?
Imagina a cena: Você é o Jason. Email chega de um fundador que você respeita. Convite pro Slack — workspace real, nome plausível. Canais cheios de posts que você esperaria. Sem bandeiras vermelhas.
Mas vai mais fundo. Eles personalizaram “especificamente pra mim,” diz Saayman. Não é phishing em massa. É ataque cirúrgico.
A chamada no Teams sela o acordo. Prompt falso de atualização — clássico drop de RAT. Credenciais do npm roubadas. Pacotes maliciosos publicados. O Axios tem 100 milhões de downloads semanais. Dependências transitivas? Multiplicador de caos.
As correções do Saayman? Limpar dispositivos, releases imutáveis, OIDC pra publicar, lockdown no GitHub Actions. Esperto. Mas reativo.
E aqui vai minha visão — o ângulo único que o post-mortem do Axios ignora: Isso não é evolução; é um retorno às sabotagens de cadeia de suprimentos da era Stuxnet, mas democratizado pro faroeste do JavaScript. A Coreia do Norte não tá só roubando crypto mais. Eles tão criando posições persistentes em ferramentas de dev, prevendo uma onda de ataques a mantenedores de OSS enquanto agentes de IA automatizam o cloning.
Por Que Mantenedores de Open Source São o Alvo Perfeito?
Eles são os guardiões. Guerreiros solo — ou times pequenos — de pacotes que milhões dependem. Sem muralhas corporativas. Emails pessoais, perfis no LinkedIn: livros abertos.
O UNC1069 sabe disso. Taylor Monahan crava: “Historicamente, […] esses caras específicos miravam fundadores de crypto, VCs, gente pública. Fazem engenharia social, tomam as contas e miram a próxima leva. Essa evolução pra atacar [mantenedores de OSS] me deixa um pouco preocupado, na minha opinião.”
Preocupado? Experimenta aterrorizado. Axios não é nicho. Tá em todo lugar — apps React, servidores Node. Um release contaminado se espalha.
Ahmad Nassri, da Socket, vai direto ao ponto: O inferno das dependências modernas em JS torna a exposição invisível. Você puxa Axios 1.6? Beleza. Mas aquela sub-dependência? Talvez não.
O Que Faz do npm o Sonho de Todo Hacker?
Resposta curta: Escala.
A longa? Namespace plano do npm, bilhões de pulls semanais, loucura transitiva. Sem assinatura nativa pra tudo. Publicadores confiam em credenciais em vez de chaves — até agora.
A mudança pro OIDC do Saayman? Padrão ouro. Mas a adoção patina. GitHub tá empurrando. npm também. Mas 2024, e a gente ainda brigando com credenciais.
Olha, empresas ficam vendendo ‘seguro por design’. Besteira. Esse ataque grita podridão arquitetural: engenharia social ignora tudo porque humanos publicam.
Minha previsão? Balão de teste do UNC1069. Espere copycats — China, Rússia — mirando PyPI, Maven em seguida. Bounties de OSS não bastam; precisamos de coletivos de mantenedores, verificação por IA pra anomalias, 2FA obrigatório com hardware em todo lugar.
Mas vamos chegar lá antes do próximo Axios?
A mudança acontece primeiro no underground.
O statecraft da Coreia do Norte — driblando sanções via código — financia mísseis. UNC1069 não é bandido solto; é máquina da DPRK, segundo laços com Mandiant. Eles evoluem rápido porque falhar é de graça.
Saayman resetou tudo. Bom. Mas no ecossistema todo? Scans da Socket ajudaram puxar as versões ruins rápido. Ainda assim, downloads rolaram. Implantes à espreita?
Seu Projeto Tá Exposto a Ataques Tipo Axios?
Checa as deps. npm audit. Mas transitivas? Ferramentas como Socket, Snyk — sobreponha elas.
Momento de insight único: Isso prenuncia exploits de ‘fadiga de mantenedor’. OSS depende de voluntários queimando. Hackers apostam nessa exaustão. Solução? Fundos pagos pra mantenedores, tipo experimentos da Protocol Labs. Dependência corporativa em OSS sem folha de pagamento.
🧬 Insights Relacionados
- Leia mais: CanisterWorm: Cybercrooks Hijack Iran Tensions for Cloud Data Heists
- Leia mais: 1,500 WhatsApp Engineers Had Unrestricted Access to User Data, Whistleblower Alleges
Perguntas Frequentes
O que causou o ataque de cadeia de suprimentos no Axios npm?
UNC1069 usou engenharia social direcionada: Slack falso de CEO clonado, chamada no Teams com RAT via atualização fake, roubando credenciais do mantenedor.
Como checar se meu projeto pegou as versões ruins do Axios?
Roda npm ls axios pra 1.14.1 ou 0.30.4; atualiza pra latest, usa npm audit. Escaneia transitivas com Socket ou GitHub Dependabot.
Hackers norte-coreanos vão mirar mais pacotes npm?
Provável — mantenedores de OSS são fruta baixa pra atores estatais atrás de escala. Tranca com OIDC, chaves de hardware.
