O mantenedor do pacote npm **Axios** confirmou um comprometimento da cadeia de suprimentos decorrente de um ataque de engenharia social direcionado, atribuído a atores de ameaças norte-coreanos rastreados como **UNC1069**. ### Uma Decepção Cuidadosamente Elaborada **Jason Saayman**, o mantenedor, declarou que os atacantes adaptaram seus esforços especificamente para ele, inicialmente se passando pelo fundador de uma empresa legítima. Eles clonaram a imagem do fundador e a marca da empresa. "Eles clonaram a imagem dos fundadores da empresa, bem como a própria empresa", disse Saayman em um post-mortem. "Então, eles me convidaram para um espaço de trabalho real no Slack. Este espaço de trabalho foi estilizado com a identidade visual da empresa e nomeado de forma plausível. O [espaço de trabalho] do Slack foi muito bem pensado; eles tinham canais onde compartilhavam postagens do LinkedIn." ### Comprometimento via Falsa Atualização Os atacantes agendaram uma reunião no **Microsoft Teams**. Durante a chamada, Saayman foi apresentado a uma mensagem de erro falsa indicando um componente de sistema desatualizado. Acionar a atualização levou à implantação de um trojan de acesso remoto. Este trojan concedeu aos atacantes acesso para roubar credenciais da conta npm, permitindo-lhes publicar duas versões trojanizadas do pacote npm Axios (1.14.1 e 0.30.4) contendo um implante chamado WAVESHAPER.V2. "Tudo foi extremamente bem coordenado, parecia legítimo e foi feito de maneira profissional", acrescentou Saayman.  *Fonte: **Kaspersky*** ### Ecos de Campanhas Passadas A cadeia de ataque compartilha semelhanças com táticas associadas ao UNC1069 e BlueNoroff. Campanhas anteriores, documentadas pela **Huntress** e Kaspersky (sob o nome GhostCall), envolviam a exibição de mensagens de erro falsas durante chamadas e a solicitação aos usuários para baixar SDKs maliciosos do Zoom ou Teams por meio de pop-ups semelhantes ao ClickFix. Essas ações levaram à execução de scripts AppleScript (para macOS) ou PowerShell (para Windows). ### CosmicDoor e SilentSiphon Um payload malicioso implantado nesses ataques é um backdoor macOS baseado em Nim (ou uma variante Go para Windows) chamado CosmicDoor. Este backdoor entrega uma suíte completa de roubo de informações, chamada SilentSiphon, para capturar credenciais de navegadores web, gerenciadores de senhas e segredos relacionados a GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust argo e .NET NuGet. ### Cenário de Ameaças em Evolução "Historicamente, [...] esses caras específicos têm visado fundadores de cripto, VCs, pessoas públicas", disse a pesquisadora de segurança Taylor Monahan. "Eles os enganam socialmente, assumem o controle de suas contas e visam a próxima rodada de pessoas. Essa evolução para atingir [mantenedores de OSS] é um pouco preocupante, na minha opinião." ### Passos de Mitigação Saayman delineou várias medidas preventivas, incluindo redefinir todos os dispositivos e credenciais, configurar lançamentos imutáveis, adotar o fluxo OIDC para publicação e atualizar o GitHub Actions para se alinhar com as melhores práticas. ### O Risco Crescente para o Código Aberto Essas descobertas ressaltam a tendência crescente de ataques sofisticados visando mantenedores de projetos de código aberto. Ao comprometer os mantenedores, os atacantes podem efetivamente atingir usuários downstream em escala, publicando versões envenenadas de pacotes amplamente utilizados. Com o Axios atraindo quase 100 milhões de downloads semanais e sendo amplamente integrado ao ecossistema JavaScript, o impacto potencial de tal ataque à cadeia de suprimentos é significativo, propagando-se rapidamente através de dependências diretas e transitivas. "Um pacote tão amplamente utilizado quanto o Axios ser comprometido mostra o quão difícil é raciocinar sobre a exposição em um ambiente JavaScript moderno", disse Ahmad Nassri, da **Socket**. "É uma propriedade de como a resolução de dependências no ecossistema funciona hoje."