Suspeitos de integrarem o grupo de hackers norte-coreano conhecido como UNC1069 comprometeram temporariamente uma ferramenta essencial para desenvolvedores, introduzindo um software malicioso projetado para roubar credenciais de sistemas globais. O ataque sofisticado à cadeia de suprimentos teve como alvo principal um pacote de código aberto amplamente utilizado, afetando o ecossistema de desenvolvimento e expondo ambientes de nuvem em todo o mundo. A invasão, detalhada em relatórios divulgados neste domingo (5 de abril), ocorreu após os criminosos utilizarem tecnologias de inteligência artificial para criar falsificações realistas e enganar os responsáveis pela manutenção do sistema.
De acordo com informações do Slashdot, o alvo inicial da operação foi o Axios, uma biblioteca que simplifica requisições HTTP e recebe milhões de downloads diariamente. No mercado brasileiro, o Axios é uma das ferramentas mais comuns utilizadas por desenvolvedores de software corporativo, aplicativos e startups para a integração de sistemas na web, o que amplia o alerta de segurança no país. Relatórios de pesquisadores de segurança do Google apontam que a versão maliciosa ficou ativa por cerca de três horas antes de ser removida. O desenvolvedor principal do projeto, Jason Saayman, foi a vítima direta da complexa engenharia social que viabilizou a violação, mesmo possuindo a autenticação em duas etapas ativada em suas contas.
Como os criminosos utilizaram deepfake para invadir o sistema?
O ataque foi classificado como extremamente sofisticado por envolver múltiplas camadas de fraude. Os invasores entraram em contato com o desenvolvedor se passando pelo fundador de uma empresa, utilizando uma cópia exata de sua imagem e voz gerada por inteligência artificial. O ambiente de interação criado pelos criminosos incluía um espaço de trabalho corporativo falso na plataforma Slack, com canais que reproduziam publicações reais retiradas da rede profissional LinkedIn, conferindo alta credibilidade à abordagem.
A etapa final do golpe ocorreu durante uma reunião virtual realizada no Microsoft Teams. Os hackers simularam um problema de áudio no sistema do desenvolvedor e o convenceram a instalar um suposto pacote de atualização para corrigir a falha técnica.
“A reunião tinha o que parecia ser um grupo de pessoas envolvidas. A reunião informou que algo no meu sistema estava desatualizado. Eu instalei o item ausente, pois presumi que tivesse algo a ver com o Teams, e este era o cavalo de Troia de acesso remoto”
Foi o que relatou o desenvolvedor sobre o momento exato em que o software malicioso foi inserido no sistema.
Quais os impactos da violação no ecossistema de desenvolvimento?
A biblioteca comprometida possui números expressivos que justificam o alerta global emitido por especialistas. Estimativas da empresa de segurança Wiz indicam que a ferramenta é baixada aproximadamente 100 milhões de vezes por semana e está presente em 80% dos ambientes de nuvem e código. Durante a janela de três horas em que a versão maliciosa esteve disponível, o código infectado foi identificado em aproximadamente três por cento das redes verificadas pela companhia.
A empresa de segurança cibernética StepSecurity destacou o alto nível técnico da implementação do ataque à cadeia de suprimentos. O arquivo malicioso estabelecia comunicação imediata com o servidor de comando dos criminosos em menos de dois segundos, antes mesmo da conclusão do processo de instalação das dependências. As características técnicas do pacote infectado incluíam as seguintes operações automatizadas:
- Entrega de cargas maliciosas distintas para os sistemas operacionais macOS, Windows e Linux.
- Capacidade de autodestruição imediata para apagar os rastros iniciais da infecção.
- Substituição do arquivo corrompido por uma versão limpa para despistar os protocolos de segurança.
- Publicação utilizando as credenciais originais para pular a etapa normal de verificação no sistema GitHub Actions.
Há outros desenvolvedores afetados pela campanha de ataques?
A plataforma de segurança Socket alertou que o caso do pacote Axios não foi um alvo isolado, mas sim parte de um padrão escalável e coordenado voltado contra os principais mantenedores de código aberto. Diversos engenheiros e líderes técnicos do ecossistema Node.js vieram a público relatar tentativas de golpes idênticos estruturados pela mesma campanha de engenharia social.
Entre os profissionais visados estão Feross Aboukhadijeh, criador do WebTorrent e dezenas de pacotes npm; Jordan Harband, mantenedor de centenas de códigos fundamentais para a linguagem JavaScript; John-David Dalton, criador do Lodash; Wes Todd; Matteo Collina e Scott Motte. Somados, os pacotes mantidos por esses desenvolvedores recebem bilhões de downloads anualmente. A empresa Socket reportou ainda que outro mantenedor foi alvo de uma abordagem que utilizou um convite falso para participar de um podcast, onde um suposto problema técnico exigiria a instalação de um corretor de software durante a gravação.
Como medidas preventivas imediatas, protocolos de segurança mais rígidos foram adotados no projeto afetado, incluindo a redefinição de todos os dispositivos e credenciais de acesso e a adoção de fluxos OIDC (OpenID Connect) para publicações. O episódio expõe as crescentes vulnerabilidades nas metodologias atuais sobre como os softwares modernos são estruturados no mundo todo.
