Um alerta de segurança urgente foi emitido para a comunidade de desenvolvedores: pacotes populares da biblioteca Axios no npm foram comprometidos em um sofisticado ataque de supply chain. O incidente, que explorou contas de desenvolvedores e injetou dependências maliciosas, resultou na instalação de trojans de acesso remoto em sistemas de desenvolvedores.
Como o Ataque se Desenrolou
O ataque teve início em 30 de março de 2026, quando um agressor publicou no npm uma cópia trojanizada da popular biblioteca JavaScript crypto-js, nomeada [email protected]. Este pacote malicioso foi cuidadosamente elaborado para parecer legítimo, mas continha um script postinstall que era executado automaticamente a cada npm install.
Nas primeiras horas de 31 de março de 2026 (UTC), o atacante utilizou as contas comprometidas do mantenedor do Axios – tendo alterado o e-mail para bloquear o acesso do proprietário legítimo, Jason Saayman – para publicar rapidamente versões do Axios com backdoor. Os pacotes maliciosos – [email protected] e [email protected] – incluíram [email protected] como uma dependência de tempo de execução.
Pesquisadores da Step Security explicaram que, ao executar npm install [email protected] ou [email protected], o npm resolvia a árvore de dependências e instalava automaticamente [email protected]. Em seguida, o script postinstall do plain-crypto-js era executado, lançando um dropper (setup.js). Este dropper se conectava a um servidor de comando e controle (C2) ativo, entregava payloads de segunda fase específicos para macOS, Windows e Linux, e então se autoexcluía, substituindo seu próprio arquivo package.json por um inofensivo. Isso garantia que os desenvolvedores que inspecionassem a pasta node_modules posteriormente não encontrassem indícios de qualquer problema.
De acordo com a OpenSourceMalware, todo o processo, da instalação ao comprometimento total do sistema, levava aproximadamente 15 segundos.
O Que Fazer se Você Instalou as Versões Afetadas do Axios
Desenvolvedores que instalaram [email protected] ou [email protected] devem considerar seus sistemas comprometidos e isolá-los imediatamente da rede. A Step Security aconselha as seguintes ações:
- Buscar versões maliciosas do Axios em seu projeto.
- Verificar a presença de
plain-crypto-jsna pastanode_modules. Sua presença indica que o dropper foi executado. - Verificar a presença do RAT (Remote Access Trojan) específico do sistema:
- macOS:
/Library/Caches/com.apple.act.mond - Windows:
%PROGRAMDATA%\\wt.exe - Linux:
/tmp/ld.py
- macOS:
Os pesquisadores alertam: “Se um artefato de RAT for encontrado: trate o sistema como totalmente comprometido. Não tente limpá-lo no local – reconstrua a partir de um estado conhecido e seguro.”
Além disso, é crucial:
- Rotacionar todas as credenciais em qualquer sistema onde o pacote malicioso foi executado: tokens npm, chaves de acesso AWS, chaves privadas SSH, credenciais de nuvem (GCP, Azure), segredos de CI/CD e quaisquer valores presentes em arquivos
.envacessíveis no momento da instalação.
Recomendações para a Comunidade de Desenvolvedores
Para mitigar riscos e fortalecer a segurança, a comunidade é aconselhada a:
- Fazer downgrade do Axios para uma versão segura (
1.14.0ou0.30.3) e fixá-la. - Adicionar um bloco
overridesnopackage.jsonpara evitar a resolução transitiva de volta às versões maliciosas. - Remover
plain-crypto-jsda pastanode_modules. - Auditar pipelines de CI/CD para identificar execuções que instalaram as versões afetadas e rotacionar segredos para qualquer workflow que as tenha executado.
- Usar
--ignore-scriptsem CI/CD para prevenir a execução de hookspostinstalldurante builds automatizados. - Bloquear o tráfego C2 malicioso conhecido para/de
142.11.206.73esfrclak.com.
Impacto Generalizado e Atribuição
Embora as versões maliciosas do Axios tenham permanecido ativas por um curto período (aproximadamente 2 horas e 53 minutos para uma, e 2 horas e 15 minutos para outra), a Step Security e a Wiz notaram um impacto significativo. Dada a ampla utilização do Axios – presente em cerca de 80% dos ambientes de nuvem e código, com aproximadamente 100 milhões de downloads por semana – a exposição foi rápida, com execução observada em 3% dos ambientes afetados.
A natureza do ataque – que incluiu reconhecimento extenso do sistema, enumeração de arquivos e monitoramento de processos – sugere operações de coleta de inteligência, roubo de credenciais, furto de código-fonte e preparação para movimento lateral, conforme a OpenSourceMalware.
A ausência de componentes de mineração de criptomoedas ou ransomware indica que este não é um crime cibernético com motivação financeira, mas sim uma atividade de espionagem ou de Ameaça Persistente Avançada (APT).
A Google Threat Intelligence Group (GTIG) está investigando o ataque de supply chain ao Axios, que é um incidente separado dos recentes ataques da TeamPCP. John Hultquist, Analista Chefe do GTIG, atribuiu o ataque a um ator de ameaça supostamente norte-coreano, rastreado como UNC1069. Hultquist destacou a profunda experiência de hackers norte-coreanos com ataques de supply chain, historicamente usados para roubar criptomoedas, e alertou para os impactos de longo alcance devido à popularidade do pacote comprometido.
Charles Carmakal, CTO da Mandiant, reforçou que os segredos roubados em vários ataques de supply chain nas últimas semanas “possibilitarão mais ataques de supply chain de software, comprometimentos de ambientes SaaS (levando a comprometimentos de clientes), eventos de ransomware e extorsão, e roubos de criptomoedas nos próximos dias, semanas e meses.”
Este incidente serve como um lembrete crítico da importância da vigilância constante e da implementação de práticas de segurança robustas na cadeia de suprimentos de software.