sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Marketing, vendas e pós-venda ganham integração no avanço do B2B
8 de julho de 2026
Fiat Argo X será o nome da nova geração do hatch brasileiro que estreia em setembro
8 de julho de 2026
Live-action de Moana, apesar de encantador, poderia ser muito mais
8 de julho de 2026
ChatGPT ganha novos modelos de voz GPT-Live com funções inéditas; confira
8 de julho de 2026
quarta-feira, julho 8, 2026
Top Posts
Marketing, vendas e pós-venda ganham integração no avanço...
Fiat Argo X será o nome da nova...
Live-action de Moana, apesar de encantador, poderia ser...
ChatGPT ganha novos modelos de voz GPT-Live com...
Queda de avião da Voepass em Vinhedo: Cenipa...
Gym Aninha Borelly conquista bons resultados no Campeonato...
Campo de futebol da Lagoa tem gramado sintético...
OpenAI fará lançamento global do modelo GPT-5.6 nesta...
Xbox Game Pass deveria ter 70 milhões de...
Anthropic leva Claude Cowork para celular e navegador;...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Marketing, vendas e pós-venda ganham integração no avanço do B2B
8 de julho de 2026
Fiat Argo X será o nome da nova geração do hatch brasileiro que estreia em setembro
8 de julho de 2026
Live-action de Moana, apesar de encantador, poderia ser muito mais
8 de julho de 2026
ChatGPT ganha novos modelos de voz GPT-Live com funções inéditas; confira
8 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Marketing, vendas e pós-venda ganham integração no avanço do B2B
8 de julho de 2026
Fiat Argo X será o nome da nova geração do hatch brasileiro que estreia em setembro
8 de julho de 2026
Live-action de Moana, apesar de encantador, poderia ser muito mais
8 de julho de 2026
ChatGPT ganha novos modelos de voz GPT-Live com funções inéditas; confira
8 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Hackers norte-coreanos atacaram apenas uma pessoa para comprometer Axios e NPM

por SampaNews 7 de abril de 2026
7 de abril de 2026
35

Em 31 de março de 2026, atores de ameaça ligados à Coreia do Norte comprometeram o axios, uma das bibliotecas JavaScript mais baixadas do mundo. Na ocasião, os criminosos publicaram versões maliciosas no npm, o repositório central de pacotes do ecossistema Node.js. 

O ataque instalou silenciosamente um trojan de acesso remoto em sistemas de desenvolvedores que atualizaram o pacote naquele dia. A investigação é da CrowdStrike.

smart_display

Nossos vídeos em destaque

Engenharia social transformou o mantenedor principal em vetor do ataque

O ponto de entrada não foi uma falha técnica no axios, mas apenas uma pessoa. Semanas antes do comprometimento, os atacantes miraram Jason Saayman, mantenedor principal da biblioteca, com uma campanha de engenharia social.

O termo descreve ataques baseados em manipulação humana, em vez de exploração de vulnerabilidades de software.

Grupos ligados ao regime norte-coreano intensificaram operações contra o ecossistema de desenvolvimento de software desde o fim de 2025.

Os atacantes se passaram por uma empresa legítima, clonaram sua identidade visual e criaram um workspace no Slack com canais ativos, perfis falsos de funcionários e publicações do LinkedIn vinculadas à conta real da organização. A encenação era convincente o suficiente para que Saayman não desconfiasse.

Falsa atualização do Microsoft Teams entregou o malware

O golpe foi concluído durante uma videochamada agendada pelos atacantes. No meio da reunião, uma mensagem de erro foi exibida na tela de Saayman, alegando que algo no sistema estava desatualizado.

A solução apresentada era instalar uma atualização do Microsoft Teams, mas o arquivo era na verdade um RAT, malware que dá ao atacante controle remoto sobre o dispositivo da vítima.

Com acesso à máquina de Saayman, os atacantes obtiveram as credenciais que ele usava para publicar versões do axios no npm. Esse tipo de ataque é chamado de ClickFix, nele a vítima é apresentada a um erro falso e induzida a executar uma ação que instala o malware sem perceber.

golpe-teams.png
Atacantes usaram uma falsa atualização do Microsoft Teams como vetor para instalar o malware nos dispositivos dos mantenedores.

Outros mantenedores do projeto relataram abordagens idênticas. Quando um deles, Pelle Wessman, mantenedor do framework de testes Mocha, se recusou a instalar o aplicativo, os atacantes tentaram convencê-lo a executar um comando diretamente no terminal. Diante de mais uma recusa, encerraram o contato e apagaram todas as conversas.

Versões maliciosas ficaram 3h no ar com dependência injetada

Com acesso autenticado à conta npm do projeto, os atacantes publicaram duas versões do axios, a 1.14.1 e a 0.30.4, contendo uma dependência extra chamada plain-crypto-js.

Dependências são pacotes externos que um software usa para funcionar. Ao instalar uma versão do axios que declara depender do plain-crypto-js, o npm baixava automaticamente esse pacote malicioso junto, sem que o desenvolvedor precisasse solicitá-lo explicitamente.

npm-hack
O npm é o repositório central de pacotes do ecossistema Node.js, com bilhões de downloads semanais, um alvo de alto valor para ataques de cadeia de suprimentos.

As versões ficaram disponíveis por aproximadamente três horas. O ataque não alterou o código-fonte do axios em si: a estratégia foi contaminar a embalagem, não o produto.

Sistemas que instalaram as versões comprometidas nesse período devem ser considerados comprometidos, com rotação imediata de todas as credenciais e chaves de autenticação.

axios foi um alvo dentro de uma campanha mais ampla

A firma de segurança Socket identificou que o comprometimento do axios não foi um ataque isolado. Múltiplos desenvolvedores, incluindo contribuidores do núcleo do Node.js, relataram ter recebido abordagens com o mesmo roteiro.

O contato chegava via LinkedIn ou Slack, convite para workspace privado, videochamada com erro fabricado e pedido para instalar software ou executar comandos.

Os mantenedores visados respondem coletivamente por pacotes com bilhões de downloads semanais. Isso indica que o grupo estava mapeando alvos de alto impacto no ecossistema, não testando o método em um alvo aleatório.

homem-segurando-celular-com-tela-de-chamada-recusada
Pelle Wessman, mantenedor do framework Mocha, recusou instalar o aplicativo malicioso e relatou publicamente a tentativa de ataque.

Google e CrowdStrike apontam para grupos norte coreanos

O Google Threat Intelligence Group atribui o ataque ao UNC1069, grupo com motivação financeira ativo desde pelo menos 2018. A atribuição tem base no uso do WAVESHAPER.V2, versão atualizada de um malware já associado ao grupo.

A CrowdStrike aponta o STARDUST CHOLLIMA com base no implante ZshBucket, exclusivamente atribuído a esse ator, e em sobreposições de infraestrutura.

As duas atribuições não se contradizem, uma vez que grupos norte coreanos frequentemente compartilham infraestrutura, e UNC1069 e STARDUST CHOLLIMA podem ser nomes distintos para o mesmo conjunto de atividades.

bandeira-da-coreia-do-norte-hasteada-em-predio
A operação contra o axios é mais um episódio na escalada de ataques cibernéticos atribuídos a grupos patrocinados pelo governo norte-coreano.

A confiança da CrowdStrike é moderada, não alta, porque parte da infraestrutura usada no ataque também foi associada ao FAMOUS CHOLLIMA, outro subgrupo norte coreano com histórico de abuso de repositórios npm.

O domínio de C2 sfrclak[.]com, registrado no provedor Hostwinds, compartilha características técnicas com um IP já usado pelo FAMOUS CHOLLIMA em 2025.

Operação revela interesse norte coreano em supply chain

O ZshBucket, implante central do ataque, era até então observado apenas em sistemas macOS. Neste incidente, a CrowdStrike identificou variantes funcionais para Linux e Windows, além de uma atualização no protocolo de comunicação com os operadores e novos comandos que permitem executar scripts, injetar payloads e enumerar o sistema de arquivos remotamente.

A evolução técnica, combinada com a escala da campanha de engenharia social, é consistente com o aumento no ritmo operacional do STARDUST CHOLLIMA observado desde o fim de 2025. Os mantenedores do axios confirmaram que limparam os sistemas afetados e estão implementando medidas para evitar incidentes semelhantes.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Polícia Rodoviária usa drones para reforçar fiscalização em rodovias da região de Campinas
próxima postagem
Decolar triplicará negócios em três anos com expansão no Brasil, diz CEO

Você também pode gostar

Marketing, vendas e pós-venda ganham integração no avanço...

8 de julho de 2026

Live-action de Moana, apesar de encantador, poderia ser...

8 de julho de 2026

ChatGPT ganha novos modelos de voz GPT-Live com...

8 de julho de 2026

OpenAI fará lançamento global do modelo GPT-5.6 nesta...

8 de julho de 2026

POSTS MAIS RECENTES

  • Marketing, vendas e pós-venda ganham integração no avanço do B2B
  • Fiat Argo X será o nome da nova geração do hatch brasileiro que estreia em setembro
  • Live-action de Moana, apesar de encantador, poderia ser muito mais
  • ChatGPT ganha novos modelos de voz GPT-Live com funções inéditas; confira
  • Queda de avião da Voepass em Vinhedo: Cenipa aponta distração de pilotos, segurança frágil e falha da Anac; entenda

Siga-nos

  • Recente
  • Popular
  • Marketing, vendas e pós-venda ganham integração no avanço do B2B

    8 de julho de 2026
  • Fiat Argo X será o nome da nova geração do hatch brasileiro que estreia em setembro

    8 de julho de 2026
  • Live-action de Moana, apesar de encantador, poderia ser muito mais

    8 de julho de 2026
  • ChatGPT ganha novos modelos de voz GPT-Live com funções inéditas; confira

    8 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Gym Aninha Borelly conquista bons resultados no Campeonato...

8 de julho de 2026

Campo de futebol da Lagoa tem gramado sintético...

8 de julho de 2026

OpenAI fará lançamento global do modelo GPT-5.6 nesta...

8 de julho de 2026

Xbox Game Pass deveria ter 70 milhões de...

8 de julho de 2026

Anthropic leva Claude Cowork para celular e navegador;...

8 de julho de 2026

Leitura obrigatória

  • Marketing, vendas e pós-venda ganham integração no avanço do B2B

    8 de julho de 2026
  • Fiat Argo X será o nome da nova geração do hatch brasileiro que estreia em setembro

    8 de julho de 2026
  • Live-action de Moana, apesar de encantador, poderia ser muito mais

    8 de julho de 2026
  • ChatGPT ganha novos modelos de voz GPT-Live com funções inéditas; confira

    8 de julho de 2026
  • Queda de avião da Voepass em Vinhedo: Cenipa aponta distração de pilotos, segurança frágil e falha da Anac; entenda

    8 de julho de 2026

Newsletter

Posts relacionados

  • Marketing, vendas e pós-venda ganham integração no avanço do B2B

    8 de julho de 2026
  • Live-action de Moana, apesar de encantador, poderia ser muito mais

    8 de julho de 2026
  • ChatGPT ganha novos modelos de voz GPT-Live com funções inéditas; confira

    8 de julho de 2026
  • OpenAI fará lançamento global do modelo GPT-5.6 nesta quinta (9)

    8 de julho de 2026
  • Xbox Game Pass deveria ter 70 milhões de assinantes em 2026, mas tem apenas 30 milhões

    8 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
9 melhores filmes e séries para assistir na Netflix em julho
1 de julho de 2026
WhatsApp libera reserva de nome de usuário; veja como esconder o número
1 de julho de 2026

Postagens Aleatórias

MP junto ao TCU pede apuração de empréstimo de R$ 22 mi do Master a cunhada de Motta
18 de março de 2026
Falha crítica no NGINX é explorada por criminosos dias após descoberta
19 de maio de 2026
CMN altera estatuto do FGC após início dos pagamentos do caso Master
22 de janeiro de 2026

Categorias Populares

  • Tecnologia (6.010)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.079)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.121)
  • Bragança Paulista (1.092)
  • Esporte (792)
  • Saúde (491)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home