Wed, 08 Apr 2026
← VoltarHackers norte-coreanos executaram um sofisticado ataque de engenharia social para injetar malware em pacotes npm amplamente utilizados. Campanhas semelhantes têm como alvo outros desenvolvedores de código aberto.
Hackers norte-coreanos passaram semanas projetando socialmente um mantenedor do Axios por meio de um espaço de trabalho falso do Slack, uma identidade de empresa clonada e uma chamada fabricada do Microsoft Teams que o enganou para instalar um RAT posando como uma atualização de software. Eles usaram o acesso obtido para injetar malware em pacotes npm baixados mais de 100 milhões de vezes por semana. Agora, um novo comunicado da Open Source Security Foundation (OpenSSF) alerta que invasores desconhecidos estão usando uma abordagem semelhante para atingir outros desenvolvedores de código aberto. O ataque Axios não foi isolado Após o comprometimento de alto perfil do Axios, os pesquisadores do Socket descobriram que a mesma campanha de ataque tinha como alvo muitos outros mantenedores de código aberto – particularmente aqueles que gerenciam Node.js e npm – bem como vários engenheiros do Socket.
Os invasores entram em contato via LinkedIn ou Slack, fazendo-se passar por proprietários/representantes de empresas, recrutadores de empregos ou hosts de podcast, e tentam atrair os desenvolvedores para que baixem malware disfarçado de atualização/correção de software de videoconferência. "Os invasores usaram uma plataforma Streamyard falsificada para enganar Pelle Wessman, um mantenedor do Mocha, para que baixasse um vírus. Outro especialista, Matteo Collina, quase caiu em uma mensagem do Slack em 2 de abril, enquanto outros como Scott Motte (criador do dotenv) e John-David Dalton (criador do Lodash) também foram alvos", compartilhou Deeba Ahmed do Socket. “Eles até foram atrás do CEO da Socket, Feross Aboukhadijeh, o criador do WebTorrent e do buffer, que observou que esse tipo de segmentação está se tornando o 'novo normal'”.
Agora alguém está se passando por um líder da Linux Foundation, Christopher Robinson, diretor de tecnologia e arquiteto-chefe de segurança do OpenSSF, alerta que os invasores atualmente também estão se passando por um conhecido líder da comunidade da Linux Foundation e tentando atrair a vítima para seguir um link malicioso. “A comunidade recebeu relatórios de uma campanha ativa de engenharia social direcionada a desenvolvedores de código aberto via Slack (incluindo ToDoGroup e comunidades relacionadas)”, ele compartilhou por meio da OpenSSF Siren List. O link fornecido pelos invasores (https://sites.google.com/view/workspace-business/join) imita um fluxo legítimo do Google Workspace, mas leva os desenvolvedores a uma página de phishing onde são solicitados a inserir suas credenciais de login e código de verificação e, em seguida, instalar um “certificado do Google” raiz falso. Os desenvolvedores que usam um Mac também aparentemente tiveram um binário malicioso adicional descartado e executado por meio de um script.
"A instalação do certificado permite a interceptação de tráfego criptografado e roubo de credenciais. A execução do binário pode resultar no comprometimento total do sistema", observou Robinson. Não confie. Verificar.
À medida que as bases de código de código aberto se tornaram mais difíceis de comprometer diretamente, a superfície de ataque mudou e o alvo, cada vez mais, é a pessoa que envia o código. “Os invasores têm como alvo os fluxos de trabalho dos desenvolvedores e as relações de confiança”, destacou Robinson, e aconselhou os desenvolvedores a verificar as identidades daqueles que os procuram. "Não confie em mensagens baseadas apenas no nome ou perfil e confirme solicitações incomuns por meio de um canal de comunicação conhecido e separado. Tenha cuidado com divulgação não solicitada, mesmo de nomes familiares", acrescentou.
Os desenvolvedores devem verificar se as páginas de login para as quais são direcionados são legítimas, evitar executar softwares ou scripts recebidos via Slack ou sites desconhecidos e ter cuidado extra ao se depararem com mensagens alertando sobre certificados expirados ou atualizações urgentes. Aqueles que caíram no truque devem considerar seu sistema, suas credenciais e suas sessões ativas e tokens comprometidos, e proceder à limpeza do primeiro e girar / revogar o último. “Relate o incidente à sua equipe ou organização de segurança”, também aconselhou Robinson, e pediu àqueles que observaram atividades semelhantes ou têm indicadores adicionais para compartilhar que os reportassem à sua equipe de segurança e os compartilhassem através dos canais comunitários apropriados.