Hackers instalaram um Trojan em uma das bibliotecas JavaScript mais baixadas.

Hackers conseguiram comprometer a conta do desenvolvedor principal da biblioteca Axios no registro npm e publicar duas versões maliciosas do pacote, que distribuíam um Trojan de acesso remoto multiplataforma. As versões infectadas, axios@1.14.1 e axios@0.30.4, ficaram disponíveis para download por duas a três horas. Especialistas em segurança recomendam considerar todos os sistemas nos quais essas versões foram instaladas como comprometidos.

De acordo com o Tom’s Hardware, o ataque foi detectado em 30 de março e implementado por meio de uma dependência oculta, plain-crypto-js@4.2.1, um pacote falso disfarçado da biblioteca legítima CryptoJS, que implementa um conjunto de algoritmos criptográficos padrão em JavaScript.

Durante a instalação, um script foi executado, baixando um vírus adaptado para os sistemas operacionais macOS, Windows e Linux. Segundo analistas da StepSecurity, o código malicioso contatou o servidor de comando e controle (sfrclak.com) apenas 1,1 segundo após o início da instalação do pacote npm.

No macOS, o Trojan foi salvo em /Library/Caches/com.apple.act.mond; no Windows, copiou o PowerShell para %PROGRAMDATA%\\wt.exe; e no Linux, baixou a versão em Python do RAT para /tmp/ld.py. Vale ressaltar que, como essa biblioteca é baixada aproximadamente 100 milhões de vezes por semana, o incidente representou uma ameaça para um público enorme. A preparação para o ataque levou cerca de 18 horas, durante as quais os hackers enviaram uma versão limpa do plain-crypto-js para criar um histórico de publicações e, em seguida, a substituíram pelo Trojan. Depois disso, versões infectadas da própria biblioteca Axios foram publicadas com 39 minutos de intervalo, por meio da conta hackeada do mantenedor Jason Saayman.Após a implantação bem-sucedida, o script removeu automaticamente todos os vestígios de sua presença, de modo que as implantações subsequentes não seriam afetadas.Uma inspeção visual do código não revelou nada suspeito.

As versões infectadas permaneceram publicamente disponíveis por aproximadamente três horas, após as quais a administração do npm as removeu e bloqueou a dependência maliciosa. Essas versões foram publicadas sem o pipeline padrão de CI/CD, portanto, nunca apareceram no repositório oficial do Axios no GitHub. Grandes empresas de TI, incluindo Snyk, Wiz e Vercel, emitiram alertas recomendando que as máquinas afetadas fossem consideradas totalmente comprometidas e que todas as credenciais fossem alteradas imediatamente.