sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

OpenAI fará lançamento global do modelo GPT-5.6 nesta quinta (9)
8 de julho de 2026
Xbox Game Pass deveria ter 70 milhões de assinantes em 2026, mas tem apenas 30 milhões
8 de julho de 2026
Anthropic leva Claude Cowork para celular e navegador; saiba como funciona
8 de julho de 2026
Colisão entre duas motocicletas deixa um ferido grave em Bragança Paulista
8 de julho de 2026
quarta-feira, julho 8, 2026
Top Posts
OpenAI fará lançamento global do modelo GPT-5.6 nesta...
Xbox Game Pass deveria ter 70 milhões de...
Anthropic leva Claude Cowork para celular e navegador;...
Colisão entre duas motocicletas deixa um ferido grave...
Emmy 2026: Lista de indicados da premiação é...
Toyota SW4 supera GWM Haval H9 e mantém...
Vazou tudo: Galaxy Z Fold 8, Ultra, Flip...
Inscrições para Festival Popular de Teatro de Fortaleza...
iPhone 18 Pro deve ser um pouco mais...
Feira de artesanato Fenearte começa nesta quarta-feira em...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

OpenAI fará lançamento global do modelo GPT-5.6 nesta quinta (9)
8 de julho de 2026
Xbox Game Pass deveria ter 70 milhões de assinantes em 2026, mas tem apenas 30 milhões
8 de julho de 2026
Anthropic leva Claude Cowork para celular e navegador; saiba como funciona
8 de julho de 2026
Colisão entre duas motocicletas deixa um ferido grave em Bragança Paulista
8 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

OpenAI fará lançamento global do modelo GPT-5.6 nesta quinta (9)
8 de julho de 2026
Xbox Game Pass deveria ter 70 milhões de assinantes em 2026, mas tem apenas 30 milhões
8 de julho de 2026
Anthropic leva Claude Cowork para celular e navegador; saiba como funciona
8 de julho de 2026
Colisão entre duas motocicletas deixa um ferido grave em Bragança Paulista
8 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Hackers norte-coreanos atacaram apenas uma pessoa para comprometer Axios e NPM

por SampaNews 7 de abril de 2026
7 de abril de 2026
34

Em 31 de março de 2026, atores de ameaça ligados à Coreia do Norte comprometeram o axios, uma das bibliotecas JavaScript mais baixadas do mundo. Na ocasião, os criminosos publicaram versões maliciosas no npm, o repositório central de pacotes do ecossistema Node.js. 

O ataque instalou silenciosamente um trojan de acesso remoto em sistemas de desenvolvedores que atualizaram o pacote naquele dia. A investigação é da CrowdStrike.

smart_display

Nossos vídeos em destaque

Engenharia social transformou o mantenedor principal em vetor do ataque

O ponto de entrada não foi uma falha técnica no axios, mas apenas uma pessoa. Semanas antes do comprometimento, os atacantes miraram Jason Saayman, mantenedor principal da biblioteca, com uma campanha de engenharia social.

O termo descreve ataques baseados em manipulação humana, em vez de exploração de vulnerabilidades de software.

Grupos ligados ao regime norte-coreano intensificaram operações contra o ecossistema de desenvolvimento de software desde o fim de 2025.

Os atacantes se passaram por uma empresa legítima, clonaram sua identidade visual e criaram um workspace no Slack com canais ativos, perfis falsos de funcionários e publicações do LinkedIn vinculadas à conta real da organização. A encenação era convincente o suficiente para que Saayman não desconfiasse.

Falsa atualização do Microsoft Teams entregou o malware

O golpe foi concluído durante uma videochamada agendada pelos atacantes. No meio da reunião, uma mensagem de erro foi exibida na tela de Saayman, alegando que algo no sistema estava desatualizado.

A solução apresentada era instalar uma atualização do Microsoft Teams, mas o arquivo era na verdade um RAT, malware que dá ao atacante controle remoto sobre o dispositivo da vítima.

Com acesso à máquina de Saayman, os atacantes obtiveram as credenciais que ele usava para publicar versões do axios no npm. Esse tipo de ataque é chamado de ClickFix, nele a vítima é apresentada a um erro falso e induzida a executar uma ação que instala o malware sem perceber.

golpe-teams.png
Atacantes usaram uma falsa atualização do Microsoft Teams como vetor para instalar o malware nos dispositivos dos mantenedores.

Outros mantenedores do projeto relataram abordagens idênticas. Quando um deles, Pelle Wessman, mantenedor do framework de testes Mocha, se recusou a instalar o aplicativo, os atacantes tentaram convencê-lo a executar um comando diretamente no terminal. Diante de mais uma recusa, encerraram o contato e apagaram todas as conversas.

Versões maliciosas ficaram 3h no ar com dependência injetada

Com acesso autenticado à conta npm do projeto, os atacantes publicaram duas versões do axios, a 1.14.1 e a 0.30.4, contendo uma dependência extra chamada plain-crypto-js.

Dependências são pacotes externos que um software usa para funcionar. Ao instalar uma versão do axios que declara depender do plain-crypto-js, o npm baixava automaticamente esse pacote malicioso junto, sem que o desenvolvedor precisasse solicitá-lo explicitamente.

npm-hack
O npm é o repositório central de pacotes do ecossistema Node.js, com bilhões de downloads semanais, um alvo de alto valor para ataques de cadeia de suprimentos.

As versões ficaram disponíveis por aproximadamente três horas. O ataque não alterou o código-fonte do axios em si: a estratégia foi contaminar a embalagem, não o produto.

Sistemas que instalaram as versões comprometidas nesse período devem ser considerados comprometidos, com rotação imediata de todas as credenciais e chaves de autenticação.

axios foi um alvo dentro de uma campanha mais ampla

A firma de segurança Socket identificou que o comprometimento do axios não foi um ataque isolado. Múltiplos desenvolvedores, incluindo contribuidores do núcleo do Node.js, relataram ter recebido abordagens com o mesmo roteiro.

O contato chegava via LinkedIn ou Slack, convite para workspace privado, videochamada com erro fabricado e pedido para instalar software ou executar comandos.

Os mantenedores visados respondem coletivamente por pacotes com bilhões de downloads semanais. Isso indica que o grupo estava mapeando alvos de alto impacto no ecossistema, não testando o método em um alvo aleatório.

homem-segurando-celular-com-tela-de-chamada-recusada
Pelle Wessman, mantenedor do framework Mocha, recusou instalar o aplicativo malicioso e relatou publicamente a tentativa de ataque.

Google e CrowdStrike apontam para grupos norte coreanos

O Google Threat Intelligence Group atribui o ataque ao UNC1069, grupo com motivação financeira ativo desde pelo menos 2018. A atribuição tem base no uso do WAVESHAPER.V2, versão atualizada de um malware já associado ao grupo.

A CrowdStrike aponta o STARDUST CHOLLIMA com base no implante ZshBucket, exclusivamente atribuído a esse ator, e em sobreposições de infraestrutura.

As duas atribuições não se contradizem, uma vez que grupos norte coreanos frequentemente compartilham infraestrutura, e UNC1069 e STARDUST CHOLLIMA podem ser nomes distintos para o mesmo conjunto de atividades.

bandeira-da-coreia-do-norte-hasteada-em-predio
A operação contra o axios é mais um episódio na escalada de ataques cibernéticos atribuídos a grupos patrocinados pelo governo norte-coreano.

A confiança da CrowdStrike é moderada, não alta, porque parte da infraestrutura usada no ataque também foi associada ao FAMOUS CHOLLIMA, outro subgrupo norte coreano com histórico de abuso de repositórios npm.

O domínio de C2 sfrclak[.]com, registrado no provedor Hostwinds, compartilha características técnicas com um IP já usado pelo FAMOUS CHOLLIMA em 2025.

Operação revela interesse norte coreano em supply chain

O ZshBucket, implante central do ataque, era até então observado apenas em sistemas macOS. Neste incidente, a CrowdStrike identificou variantes funcionais para Linux e Windows, além de uma atualização no protocolo de comunicação com os operadores e novos comandos que permitem executar scripts, injetar payloads e enumerar o sistema de arquivos remotamente.

A evolução técnica, combinada com a escala da campanha de engenharia social, é consistente com o aumento no ritmo operacional do STARDUST CHOLLIMA observado desde o fim de 2025. Os mantenedores do axios confirmaram que limparam os sistemas afetados e estão implementando medidas para evitar incidentes semelhantes.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Polícia Rodoviária usa drones para reforçar fiscalização em rodovias da região de Campinas
próxima postagem
Decolar triplicará negócios em três anos com expansão no Brasil, diz CEO

Você também pode gostar

OpenAI fará lançamento global do modelo GPT-5.6 nesta...

8 de julho de 2026

Xbox Game Pass deveria ter 70 milhões de...

8 de julho de 2026

Anthropic leva Claude Cowork para celular e navegador;...

8 de julho de 2026

Emmy 2026: Lista de indicados da premiação é...

8 de julho de 2026

POSTS MAIS RECENTES

  • OpenAI fará lançamento global do modelo GPT-5.6 nesta quinta (9)
  • Xbox Game Pass deveria ter 70 milhões de assinantes em 2026, mas tem apenas 30 milhões
  • Anthropic leva Claude Cowork para celular e navegador; saiba como funciona
  • Colisão entre duas motocicletas deixa um ferido grave em Bragança Paulista
  • Emmy 2026: Lista de indicados da premiação é divulgada

Siga-nos

  • Recente
  • Popular
  • OpenAI fará lançamento global do modelo GPT-5.6 nesta quinta (9)

    8 de julho de 2026
  • Xbox Game Pass deveria ter 70 milhões de assinantes em 2026, mas tem apenas 30 milhões

    8 de julho de 2026
  • Anthropic leva Claude Cowork para celular e navegador; saiba como funciona

    8 de julho de 2026
  • Colisão entre duas motocicletas deixa um ferido grave em Bragança Paulista

    8 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Toyota SW4 supera GWM Haval H9 e mantém...

8 de julho de 2026

Vazou tudo: Galaxy Z Fold 8, Ultra, Flip...

8 de julho de 2026

Inscrições para Festival Popular de Teatro de Fortaleza...

8 de julho de 2026

iPhone 18 Pro deve ser um pouco mais...

8 de julho de 2026

Feira de artesanato Fenearte começa nesta quarta-feira em...

8 de julho de 2026

Leitura obrigatória

  • OpenAI fará lançamento global do modelo GPT-5.6 nesta quinta (9)

    8 de julho de 2026
  • Xbox Game Pass deveria ter 70 milhões de assinantes em 2026, mas tem apenas 30 milhões

    8 de julho de 2026
  • Anthropic leva Claude Cowork para celular e navegador; saiba como funciona

    8 de julho de 2026
  • Colisão entre duas motocicletas deixa um ferido grave em Bragança Paulista

    8 de julho de 2026
  • Emmy 2026: Lista de indicados da premiação é divulgada

    8 de julho de 2026

Newsletter

Posts relacionados

  • OpenAI fará lançamento global do modelo GPT-5.6 nesta quinta (9)

    8 de julho de 2026
  • Xbox Game Pass deveria ter 70 milhões de assinantes em 2026, mas tem apenas 30 milhões

    8 de julho de 2026
  • Anthropic leva Claude Cowork para celular e navegador; saiba como funciona

    8 de julho de 2026
  • Emmy 2026: Lista de indicados da premiação é divulgada

    8 de julho de 2026
  • Vazou tudo: Galaxy Z Fold 8, Ultra, Flip e relógios aparecem em renders

    8 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
9 melhores filmes e séries para assistir na Netflix em julho
1 de julho de 2026
WhatsApp libera reserva de nome de usuário; veja como esconder o número
1 de julho de 2026

Postagens Aleatórias

Sinfônica de Campinas: despedida do maestro reúne 4 mil pessoas
2 de março de 2026
Apple trocará automaticamente senhas fracas nos iPhones com iOS 27
13 de junho de 2026
OpenAI lança GPT-5.5 e modelo supera Claude Opus 4.7 nos benchmarks
23 de abril de 2026

Categorias Populares

  • Tecnologia (6.007)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.077)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.120)
  • Bragança Paulista (1.091)
  • Esporte (792)
  • Saúde (491)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home