Axios é hackeado através de engenharia social: ataque coordenado mira mantenedores de pacotes npm populares
O mantenedor do Axios foi vítima de um ataque de engenharia social sofisticado que resultou na publicação de versões maliciosas do pacote npm. A invasão faz parte de uma campanha maior que visa desenvolvedores de projetos open source.
MundiX News·14 de abril de 2026·6 min de leitura·👁 3 views
O mantenedor do projeto Axios, Jason Saayman, publicou um relatório detalhado sobre o ataque que ocorreu na semana passada. Especialistas da Socket descobriram que o ataque fazia parte de uma campanha coordenada em larga escala, direcionada aos mantenedores de pacotes npm populares.
Na semana passada, noticiamos a invasão do pacote npm Axios: os invasores assumiram a conta do mantenedor principal do projeto e publicaram duas versões maliciosas do pacote (1.14.1 e 0.30.4) que instalaram um RAT (Remote Access Trojan) nas máquinas dos desenvolvedores.
Agora, Saayman revelou detalhes de como foi hackeado. Segundo o desenvolvedor, os atacantes estavam bem preparados: eles clonaram a aparência e a marca do fundador de uma empresa real conhecida e, em seguida, convidaram o mantenedor para um workspace do Slack com o estilo dessa empresa. Tudo parecia convincente: o workspace tinha canais com publicações do LinkedIn, perfis falsos de "funcionários" e até outros mantenedores de código aberto.
Em seguida, os invasores agendaram uma chamada com Saayman no Microsoft Teams. Quando ele se conectou à chamada, mostraram-lhe uma mensagem de erro – alegando que algo no sistema estava desatualizado e precisava de ser atualizado. Assim que ele executou a "atualização", um trojan de acesso remoto foi instalado em sua máquina. Foi com a ajuda dele que os invasores roubaram as credenciais do npm e, em seguida, publicaram versões trojanizadas do Axios com o malware WAVESHAPER.V2.
Saayman enfatiza que, após o incidente, ele resetou todos os seus dispositivos, alterou suas credenciais, configurou lançamentos imutáveis, mudou para OIDC para publicação e atualizou o GitHub Actions, de acordo com as melhores práticas de segurança.
Anteriormente, analistas do Google Threat Intelligence Group ligaram este ataque ao grupo UNC1069 – hackers norte-coreanos com motivação financeira, ativos desde pelo menos 2018. A tática que os invasores usaram contra Saayman é completamente consistente com outra campanha que especialistas da Huntress e da Kaspersky Lab descreveram no ano passado: a vítima vê um erro falso ao se conectar a uma videochamada e, em seguida, é solicitado a baixar uma "atualização" para Zoom ou Teams.
Pior ainda, como descobriram os analistas da Socket, o Axios não foi o único alvo dos invasores. Especialistas escrevem que vários mantenedores do ecossistema Node.js confirmaram independentemente que foram atacados usando o mesmo cenário.
Entre os alvos estavam: o mantenedor dos polyfills ECMAScript, Jordan Harband, o criador do Lodash, John-David Dalton, o mantenedor do Fastify e Undici, Matteo Collina, o autor do dotenv, Scott Motte, e o mantenedor do Mocha, Pelle Wessman. Além disso, os próprios engenheiros da Socket foram atacados.
Em todos os casos, foi utilizado o mesmo esquema: contato com a vítima via LinkedIn ou Slack, convite para um workspace pré-preparado e, em seguida, agendamento de uma videochamada e um erro falso com uma oferta para instalar uma "correção".
Por exemplo, Wessman foi convidado para uma gravação de podcast através de uma versão falsa da plataforma Streamyard. Quando ele se recusou a executar o aplicativo proposto, os hackers tentaram convencê-lo a executar um comando curl no terminal. Após repetidas recusas, os invasores excluíram todas as mensagens e desapareceram.
Uma história semelhante é descrita por Jean Burellier, colaborador do Node.js core e Express: ele foi contatado no LinkedIn em nome da empresa Openfort, após o qual foi convidado para dois workspaces do Slack e para uma chamada falsa no Teams com uma oferta para atualizar o Teams SDK.
O CEO da Socket, Feross Aboukhadijeh, enfatiza que, após a instalação de um RAT na máquina da vítima, a autenticação de dois fatores e a publicação OIDC não ajudarão mais, pois os invasores terão acesso aos tokens .npmrc, sessões do navegador e keychain. A ameaça de ataques de engenharia social bem orquestrados como este demonstra a importância da vigilância constante e da implementação de medidas de segurança robustas, incluindo a educação dos desenvolvedores sobre táticas de phishing e a importância de verificar a autenticidade dos pedidos de atualização de software.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
O mantenedor do projeto Axios, Jason Saayman, publicou um relatório detalhado sobre o ataque que ocorreu na semana passada. Especialistas da Socket descobriram que o ataque fazia parte de uma campanha coordenada em larga escala, direcionada aos mantenedores de pacotes npm populares.
Na semana passada, noticiamos a invasão do pacote npm Axios: os invasores assumiram a conta do mantenedor principal do projeto e publicaram duas versões maliciosas do pacote (1.14.1 e 0.30.4) que instalaram um RAT (Remote Access Trojan) nas máquinas dos desenvolvedores.
Agora, Saayman revelou detalhes de como foi hackeado. Segundo o desenvolvedor, os atacantes estavam bem preparados: eles clonaram a aparência e a marca do fundador de uma empresa real conhecida e, em seguida, convidaram o mantenedor para um workspace do Slack com o estilo dessa empresa. Tudo parecia convincente: o workspace tinha canais com publicações do LinkedIn, perfis falsos de "funcionários" e até outros mantenedores de código aberto.
Em seguida, os invasores agendaram uma chamada com Saayman no Microsoft Teams. Quando ele se conectou à chamada, mostraram-lhe uma mensagem de erro – alegando que algo no sistema estava desatualizado e precisava de ser atualizado. Assim que ele executou a "atualização", um trojan de acesso remoto foi instalado em sua máquina. Foi com a ajuda dele que os invasores roubaram as credenciais do npm e, em seguida, publicaram versões trojanizadas do Axios com o malware WAVESHAPER.V2.
Saayman enfatiza que, após o incidente, ele resetou todos os seus dispositivos, alterou suas credenciais, configurou lançamentos imutáveis, mudou para OIDC para publicação e atualizou o GitHub Actions, de acordo com as melhores práticas de segurança.
Anteriormente, analistas do Google Threat Intelligence Group ligaram este ataque ao grupo UNC1069 – hackers norte-coreanos com motivação financeira, ativos desde pelo menos 2018. A tática que os invasores usaram contra Saayman é completamente consistente com outra campanha que especialistas da Huntress e da Kaspersky Lab descreveram no ano passado: a vítima vê um erro falso ao se conectar a uma videochamada e, em seguida, é solicitado a baixar uma "atualização" para Zoom ou Teams.
Pior ainda, como descobriram os analistas da Socket, o Axios não foi o único alvo dos invasores. Especialistas escrevem que vários mantenedores do ecossistema Node.js confirmaram independentemente que foram atacados usando o mesmo cenário.
Entre os alvos estavam: o mantenedor dos polyfills ECMAScript, Jordan Harband, o criador do Lodash, John-David Dalton, o mantenedor do Fastify e Undici, Matteo Collina, o autor do dotenv, Scott Motte, e o mantenedor do Mocha, Pelle Wessman. Além disso, os próprios engenheiros da Socket foram atacados.
Em todos os casos, foi utilizado o mesmo esquema: contato com a vítima via LinkedIn ou Slack, convite para um workspace pré-preparado e, em seguida, agendamento de uma videochamada e um erro falso com uma oferta para instalar uma "correção".
Por exemplo, Wessman foi convidado para uma gravação de podcast através de uma versão falsa da plataforma Streamyard. Quando ele se recusou a executar o aplicativo proposto, os hackers tentaram convencê-lo a executar um comando curl no terminal. Após repetidas recusas, os invasores excluíram todas as mensagens e desapareceram.
Uma história semelhante é descrita por Jean Burellier, colaborador do Node.js core e Express: ele foi contatado no LinkedIn em nome da empresa Openfort, após o qual foi convidado para dois workspaces do Slack e para uma chamada falsa no Teams com uma oferta para atualizar o Teams SDK.
O CEO da Socket, Feross Aboukhadijeh, enfatiza que, após a instalação de um RAT na máquina da vítima, a autenticação de dois fatores e a publicação OIDC não ajudarão mais, pois os invasores terão acesso aos tokens .npmrc, sessões do navegador e keychain. A ameaça de ataques de engenharia social bem orquestrados como este demonstra a importância da vigilância constante e da implementação de medidas de segurança robustas, incluindo a educação dos desenvolvedores sobre táticas de phishing e a importância de verificar a autenticidade dos pedidos de atualização de software.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
