Como o ataque aconteceu
O Google identificou um ataque cibernético grave contra o Axios. Esse programa de código aberto é fundamental para o funcionamento de vários serviços na internet e recebe mais de 180 milhões de downloads por semana.
Um grupo ligado ao governo da Coreia do Norte conseguiu colocar um código malicioso dentro de uma atualização do sistema. A falha permitiu o acesso a informações confidenciais de empresas e usuários no mundo todo.
Impacto nos dispositivos
O pesquisador sênior da SentinelOne, Tom Hegel, explicou o tamanho do problema.
“Toda vez que você acessa um site, verifica seu saldo bancário ou abre um aplicativo, o Axios está funcionando nos bastidores.”
A empresa de segurança Wiz alertou que centenas de milhares de dados sensíveis acabaram expostos na rede. Os criminosos podem usar essas senhas roubadas para invadir redes corporativas e aplicar fraudes financeiras.
O problema atingiu diferentes plataformas e ampliou o alcance da ameaça para milhões de aparelhos. A invasão prejudicou equipamentos que rodam os sistemas operacionais listados abaixo.
- Windows
- macOS
- Linux
Ação rápida e histórico do grupo
O Google apagou o código perigoso poucas horas depois de descobrir a invasão. O Axios já está presente em quase 80% dos ambientes de nuvem, o que ajudou a espalhar a ameaça rapidamente antes da correção.
Especialistas chamam essa tática de ataque à cadeia de fornecimento de software. Isso acontece quando os invasores comprometem uma peça comum de código para atingir vários alvos ao mesmo tempo.
O analista do Google, John Hultquist, detalhou o perfil dos criminosos responsáveis pela ação.
“Hackers norte-coreanos têm profunda experiência com ataques desse tipo, usados principalmente para roubar criptomoedas.”
A operação foi atribuída ao grupo UNC1069, que atua desde 2018 com foco em roubos financeiros. O governo dos Estados Unidos afirma que a Coreia do Norte usa essas invasões na internet para bancar programas militares e escapar de sanções internacionais.
