O sequestro pela Coreia do Norte de um dos projetos de código aberto mais usados ​​da web provavelmente levou semanas para ser feito

Um ataque cibernético norte-coreano na última segunda-feira brevemente sequestrado um dos projetos de código aberto mais usados ​​na web levou semanas para ser executado como parte de uma campanha de longa duração para atingir os principais desenvolvedores do código.

O sequestro do projeto Axios em 31 de março foi em parte bem-sucedido porque dependia de hackers com bons recursos construírem relacionamento e confiança com o alvo pretendido durante um longo período de tempo para aumentar suas chances de um eventual compromisso bem-sucedido. Este tipo de hack destaca os desafios de segurança que os desenvolvedores de projetos populares de código aberto podem enfrentar, numa altura em que hackers governamentais e cibercriminosos têm como alvo projetos amplamente utilizados pela sua capacidade de aceder, em alguns casos, a milhões de dispositivos em todo o mundo.

Jason Saayman, que mantém o popular projeto Axios que os desenvolvedores usam para conectar seus aplicativos à Internet, forneceu uma autópsia com uma linha do tempo do hack. Ele compartilhou que os hackers começaram sua campanha de segmentação cerca de duas semanas antes de finalmente obterem o controle de seu computador para enviar códigos maliciosos.

Ao se passar por uma empresa real, criando um espaço de trabalho Slack de aparência realista e usando perfis falsos de seus funcionários para construir credibilidade, Saayman disse os supostos hackers norte-coreanos o convidaram para uma reunião na web que o levou a baixar malware disfarçado de atualização necessária para acessar a chamada. Saayman disse que a atração imitou uma técnica usado por hackers norte-coreanos que enganam possíveis vítimas para que concedam aos hackers acesso remoto ao seu sistema, muitas vezes para roubar sua criptomoeda.

Este ataque, disse Saayman, imitou hacks anteriores atribuído à Coreia do Norte por pesquisadores de segurança do Google.

Depois de comprometer e obter acesso remoto ao computador de Saayman, os hackers lançaram as atualizações maliciosas para o projeto Axios.

Os dois pacotes maliciosos do Axios, retirados cerca de três horas depois de terem sido publicados pela primeira vez em 31 de março, ainda podem ter infectado milhares de sistemas durante esse período, embora a amplitude total do hack em massa ainda não esteja totalmente clara. Qualquer computador que instalou uma versão maliciosa do software durante esse período pode ter permitido que hackers roubassem suas chaves privadas, credenciais e senhas desse computador, o que pode levar a novas violações.

Saayman não respondeu imediatamente a um e-mail com perguntas sobre o incidente.

Os hackers norte-coreanos continuam sendo uma das ameaças cibernéticas mais ativas na Internet atualmente, responsabilizados pelo roubo de pelo menos US$ 2 bilhões em criptomoeda somente em 2025.

O regime de Kim Jong Un continua sob sanções internacionais e banido da rede financeira global por violar a proibição do seu programa de desenvolvimento de armas nucleares, que o país financia em grande parte através do lançamento de ataques cibernéticos e do roubo de criptomoedas.

A Coreia do Norte é acredita-se que tenha milhares de hackers altamente organizados – a maioria dos quais trabalha contra a sua vontade sob o regime repressivo de Kim. Esses hackers passam semanas ou meses realizando ataques complexos de engenharia social com o objetivo de ganhar confiança e, eventualmente, acesso, para roubar criptomoedas e dados para extorquir suas vítimas.