Um hacker desconhecido conseguiu invadir uma das poucas contas autorizadas a publicar novas versões do Axios na noite de segunda-feira (30) e distribuiu versões maliciosas do software.
O Axios — também conhecido como Axios NPM — é um cliente usado por desenvolvedores para enviar requisições a servidores, permitindo que programas se conectem à web, e é baixado cerca de 80 milhões de vezes por semana. Pacotes NPM são conjuntos reutilizáveis de código que aceleram o desenvolvimento de software.
O código comprometido ficou disponível por cerca de três horas antes de ser identificado e removido. A extensão dos danos e o objetivo do ataque ainda não estão claros.
Segundo John Hammond, pesquisador sênior da empresa de cibersegurança Huntress, o código malicioso poderia ser usado para invadir sistemas operacionais como Windows, macOS e Linux. “O alcance desse comprometimento é significativo”, afirmou, destacando a ampla utilização do Axios. Usuários que baixaram a versão maliciosa podem ter seus computadores — e os dados armazenados neles — comprometidos por hackers.
Esse tipo de ataque à cadeia de suprimentos — em que invasores exploram vulnerabilidades em terceiros para atingir sistemas maiores — tem se tornado mais comum. Em 2020, um grupo ligado ao governo russo invadiu softwares da empresa americana SolarWinds e distribuiu uma atualização maliciosa, afetando nove agências do governo dos EUA e cerca de 100 empresas.
“A principal preocupação já não é apenas o acesso inicial, mas o alcance do impacto e a extensão de eventuais comprometimentos já estabelecidos”, disse Jon Robertson, diretor-geral da empresa australiana de cibersegurança Tarian Cyber.
Robertson e Hammond afirmaram ter observado impactos do ataque até a manhã de terça-feira. Segundo Robertson, empresas de desenvolvimento de software e desenvolvedores internos foram afetados. Hammond identificou ao menos 135 computadores comprometidos.
Rafe Pilling, diretor de inteligência de ameaças da Sophos Counter Threat Unit, classificou o incidente como grave, mas afirmou que os danos parecem ter sido limitados. “Felizmente, foi detectado cedo, o que provavelmente reduziu o impacto pretendido”, disse.
O Axios é mantido por uma comunidade de colaboradores na plataforma GitHub, e não por uma única empresa, e seu código é aberto ao público. De acordo com pesquisadores, incluindo a StepSecurity, os hackers tiveram como alvo um dos principais desenvolvedores do projeto, invadindo sua conta no GitHub.
Segundo análise da StepSecurity, o ataque — projetado para esconder os rastros dos invasores — foi um dos mais sofisticados já registrados contra um grande pacote NPM. Os hackers criaram um sistema capaz de instalar um script malicioso e, em seguida, se autodestruir, dificultando a detecção por desenvolvedores. “Não foi oportunista. Foi preciso”, concluiu o relatório.