Um grupo hacker infectou, na segunda-feira (30), uma das ferramentas de comunicação entre computadores e sites da internet mais populares do mundo. O pacote Axios npm tem cerca de 400 milhões de downloads por mês, incluindo de usuários brasileiros, de acordo com a página de seus desenvolvedores.
Versões contaminadas
A equipe por trás do Axios afirma que retirou as versões contaminadas do software de seu site e de plataformas de compartilhamento de código, como o GitHub. A companhia responsável pelo projeto de código aberto ainda investiga o ataque.
“O pacote malicioso incluiu um cavalo de troia de acesso remoto, capaz de executar comandos e roubar dados”, diz o relatório da Socket, empresa de cibersegurança que denunciou a brecha no Axios. Essa técnica é comum para espionar os aparelhos infectados.
Brecha no mecanismo
O autor e propósito do ataque ainda não estão claros, de acordo com a empresa de segurança Socket que denunciou a brecha no mecanismo.
Ainda não é possível estimar quantas pessoas foram afetadas. Porém, qualquer programador que mantivesse a biblioteca no modo de atualização automática (o que é comum) pode ter instalado o vírus sem notar.
Versões seguras
A Socket recomenda que os usuários do Axios adotem as versões 1.14.0 e 0.30.3, as últimas consideradas seguras.
Caso a invasão seja confirmada, a empresa sugere que a vítima troque todas as senhas e chaves de acesso. Deve ainda reinstalar o ambiente de trabalho no qual programa.
Cronologia do ataque
Veja abaixo a cronologia do ataque em 30 de Março:
– 02:59: Publicação do pacote plain-crypto-js@4.2.0 (versão limpa, usada para preparar o ataque).
– 20:59: Lançamento da versão infectada plain-crypto-js@4.2.1.
– 21:00: Publicação das versões do Axios (1.14.1 e 0.30.4) infectadas com o código malicioso do pacote plain-crypto-js@4.2.0.
– 21:05: Sistema de segurança identifica o vírus no pacote de origem, seis minutos após sua ativação.
As informações são do jornal Folha de S.Paulo.