Um ataque hacker de escala global, orquestrado por grupos vinculados à Coreia do Norte, comprometeu uma das ferramentas mais importantes da internet. O alvo foi o Axios, uma biblioteca de software que roda de forma invisível em cerca de 80% dos ambientes de nuvem e é baixada mais de 100 milhões de vezes por semana.
Segundo o grupo de inteligência do Google, os invasores conseguiram assumir o controle da conta de um desenvolvedor principal. Com esse acesso, eles inseriram códigos maliciosos em atualizações legítimas da ferramenta, criando uma espécie de 'cavalo de Troia' para infectar computadores em todo o mundo.
O objetivo principal da invasão é o roubo de credenciais de acesso e dados financeiros, especialmente de empresas de criptomoedas. O vírus instalado, chamado de WAVESHAPER.V2, funciona como uma chave mestra que permite aos criminosos vasculhar arquivos e roubar senhas de sistemas Windows, macOS e Linux.
Para evitar que o roubo fosse descoberto, os hackers programaram o código para se autodeletar e restaurar os arquivos originais após concluir a infecção. Os dados roubados eram enviados para servidores externos a cada 60 segundos, sem que o usuário percebesse qualquer lentidão no computador.
Especialistas alertam que o Axios está presente em quase tudo o que fazemos online, desde checar o saldo bancário até abrir aplicativos de redes sociais. Embora as versões contaminadas tenham sido removidas das lojas oficiais em poucas horas, o risco continua para quem não atualizou seus sistemas imediatamente.
A suspeita é que o grupo UNC1069 esteja por trás da ação para financiar programas do governo da Coreia do Norte e driblar sanções internacionais. O incidente serve como um alerta para empresas e desenvolvedores sobre a segurança de ferramentas que funcionam nos bastidores da web.
