){kind=link}
Em 31 de março de 2026, atores de ameaça ligados à Coreia do Norte comprometeram o axios, uma das bibliotecas JavaScript mais baixadas do mundo. Na ocasião, os criminosos publicaram versões maliciosas no npm, o repositório central de pacotes do ecossistema Node.js.
O ataque instalou silenciosamente um trojan de acesso remoto em sistemas de desenvolvedores que atualizaram o pacote naquele dia. A investigação é da CrowdStrike.
smart_display
Nossos vídeos em destaque
Engenharia social transformou o mantenedor principal em vetor do ataque
O ponto de entrada não foi uma falha técnica no axios, mas apenas uma pessoa. Semanas antes do comprometimento, os atacantes miraram Jason Saayman, mantenedor principal da biblioteca, com uma campanha de engenharia social.
O termo descreve ataques baseados em manipulação humana, em vez de exploração de vulnerabilidades de software.
Os atacantes se passaram por uma empresa legítima, clonaram sua identidade visual e criaram um workspace no Slack com canais ativos, perfis falsos de funcionários e publicações do LinkedIn vinculadas à conta real da organização. A encenação era convincente o suficiente para que Saayman não desconfiasse.
Falsa atualização do Microsoft Teams entregou o malware
O golpe foi concluído durante uma videochamada agendada pelos atacantes. No meio da reunião, uma mensagem de erro foi exibida na tela de Saayman, alegando que algo no sistema estava desatualizado.
A solução apresentada era instalar uma atualização do Microsoft Teams, mas o arquivo era na verdade um RAT, malware que dá ao atacante controle remoto sobre o dispositivo da vítima.
Com acesso à máquina de Saayman, os atacantes obtiveram as credenciais que ele usava para publicar versões do axios no npm. Esse tipo de ataque é chamado de ClickFix, nele a vítima é apresentada a um erro falso e induzida a executar uma ação que instala o malware sem perceber.
)
Outros mantenedores do projeto relataram abordagens idênticas. Quando um deles, Pelle Wessman, mantenedor do framework de testes Mocha, se recusou a instalar o aplicativo, os atacantes tentaram convencê-lo a executar um comando diretamente no terminal. Diante de mais uma recusa, encerraram o contato e apagaram todas as conversas.
Versões maliciosas ficaram 3h no ar com dependência injetada
Com acesso autenticado à conta npm do projeto, os atacantes publicaram duas versões do axios, a 1.14.1 e a 0.30.4, contendo uma dependência extra chamada plain-crypto-js.
Dependências são pacotes externos que um software usa para funcionar. Ao instalar uma versão do axios que declara depender do plain-crypto-js, o npm baixava automaticamente esse pacote malicioso junto, sem que o desenvolvedor precisasse solicitá-lo explicitamente.
)
As versões ficaram disponíveis por aproximadamente três horas. O ataque não alterou o código-fonte do axios em si: a estratégia foi contaminar a embalagem, não o produto.
Sistemas que instalaram as versões comprometidas nesse período devem ser considerados comprometidos, com rotação imediata de todas as credenciais e chaves de autenticação.
axios foi um alvo dentro de uma campanha mais ampla
A firma de segurança Socket identificou que o comprometimento do axios não foi um ataque isolado. Múltiplos desenvolvedores, incluindo contribuidores do núcleo do Node.js, relataram ter recebido abordagens com o mesmo roteiro.
O contato chegava via LinkedIn ou Slack, convite para workspace privado, videochamada com erro fabricado e pedido para instalar software ou executar comandos.
Os mantenedores visados respondem coletivamente por pacotes com bilhões de downloads semanais. Isso indica que o grupo estava mapeando alvos de alto impacto no ecossistema, não testando o método em um alvo aleatório.
)
Google e CrowdStrike apontam para grupos norte coreanos
O Google Threat Intelligence Group atribui o ataque ao UNC1069, grupo com motivação financeira ativo desde pelo menos 2018. A atribuição tem base no uso do WAVESHAPER.V2, versão atualizada de um malware já associado ao grupo.
A CrowdStrike aponta o STARDUST CHOLLIMA com base no implante ZshBucket, exclusivamente atribuído a esse ator, e em sobreposições de infraestrutura.
As duas atribuições não se contradizem, uma vez que grupos norte coreanos frequentemente compartilham infraestrutura, e UNC1069 e STARDUST CHOLLIMA podem ser nomes distintos para o mesmo conjunto de atividades.
)
A confiança da CrowdStrike é moderada, não alta, porque parte da infraestrutura usada no ataque também foi associada ao FAMOUS CHOLLIMA, outro subgrupo norte coreano com histórico de abuso de repositórios npm.
O domínio de C2 sfrclak[.]com, registrado no provedor Hostwinds, compartilha características técnicas com um IP já usado pelo FAMOUS CHOLLIMA em 2025.
Operação revela interesse norte coreano em supply chain
O ZshBucket, implante central do ataque, era até então observado apenas em sistemas macOS. Neste incidente, a CrowdStrike identificou variantes funcionais para Linux e Windows, além de uma atualização no protocolo de comunicação com os operadores e novos comandos que permitem executar scripts, injetar payloads e enumerar o sistema de arquivos remotamente.
A evolução técnica, combinada com a escala da campanha de engenharia social, é consistente com o aumento no ritmo operacional do STARDUST CHOLLIMA observado desde o fim de 2025. Os mantenedores do axios confirmaram que limparam os sistemas afetados e estão implementando medidas para evitar incidentes semelhantes.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.