O Google atribuiu formalmente a violação da cadeia de suprimentos do popular pacote Axios npm a um grupo de ameaças da Coreia do Norte, identificado como UNC1069. Este ataque, que visa roubar criptomoedas, ocorreu quando os invasores assumiram o controle da conta do mantenedor do pacote, permitindo a distribuição de versões trojanizadas que introduziram uma dependência maliciosa chamada ‘plain-crypto-js’. Essa dependência é utilizada para implantar um backdoor multiplataforma que afeta sistemas Windows, macOS e Linux. O ataque se destaca pela sua sofisticação, utilizando um hook de pós-instalação no arquivo ‘package.json’ para executar código malicioso de forma discreta. O backdoor, denominado WAVESHAPER.V2, é uma versão atualizada de um malware anterior e suporta comandos para executar scripts e coletar informações do sistema. Para mitigar os riscos, os usuários são aconselhados a auditar suas dependências, bloquear domínios de comando e controle e isolar sistemas afetados. Este incidente ressalta a necessidade de uma vigilância contínua sobre as dependências de software, especialmente em ambientes de desenvolvimento.
Fonte: https://thehackernews.com/2026/04/google-attributes-axios-npm-supply.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
01/04/2026 • Risco: ALTO
ATAQUE
Ataque à cadeia de suprimentos do pacote Axios atribuído à Coreia do Norte
RESUMO EXECUTIVO
O ataque à cadeia de suprimentos do Axios, atribuído a UNC1069, destaca a vulnerabilidade de pacotes amplamente utilizados. A sofisticação do ataque, que inclui a execução de código malicioso sem alterações visíveis no pacote, exige que as organizações adotem medidas rigorosas de auditoria e monitoramento de suas dependências de software.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras devido ao roubo de criptomoedas e interrupções operacionais.
Operacional
Possível roubo de criptomoedas e comprometimento de sistemas operacionais.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software', 'Finanças']
📊 INDICADORES CHAVE
Duas versões trojanizadas do Axios foram lançadas.
Indicador
O backdoor WAVESHAPER.V2 suporta quatro comandos diferentes.
Contexto BR
Os invasores realizam polling para o servidor de comando e controle a cada 60 segundos.
Urgência
⚡ AÇÕES IMEDIATAS
1
Auditar as dependências do npm para identificar versões comprometidas.
2
Bloquear o domínio de comando e controle e isolar sistemas afetados.
3
Monitorar continuamente a presença de 'plain-crypto-js' e atividades suspeitas nos sistemas.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das dependências de software, que são frequentemente alvos de ataques sofisticados.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD, especialmente em casos de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
