A cadeia de abastecimento da axios terá sido alvo de um ataque informático por hackers norte-coreanos, tendo como alvo os ativos criptográficos empresariais

A divisão de segurança na Internet da Google, a Mandiant, confirmou que uma presumível organização de piratas informáticos norte-coreanos foi responsável pelo incidente de ataque à cadeia de fornecimento do axios desta terça-feira. O atacante comprometeu a conta do fornecedor responsável pelo desenvolvimento do software de código aberto axios e, durante uma janela de cerca de três horas na terça-feira de manhã, fez push de uma actualização maliciosa para todas as organizações que descarregam este software, com o objectivo de roubar activos criptografados empresariais para financiar os programas de armas nucleares e mísseis da Coreia do Norte.

Detalhes da execução do ataque: golpe exacto de cadeia de fornecimento em três horas

As acções do(s) hacker(s) demonstraram a elevada eficiência dos ataques à cadeia de fornecimento de software. Primeiro, os atacantes obtiveram o controlo da conta do fornecedor que desenvolve o software de código aberto axios e, de imediato, disfarçaram uma versão que continha código malicioso como uma actualização oficial e legítima. Nessa janela de três horas, qualquer sistema automatizado de qualquer organização, ao efectuar actualizações regulares, iria instalar, sem saber, essa versão com backdoor.

O responsável sénior de inteligência de ameaças estratégicas da Wiz, uma empresa do grupo Google, Ben Read, assinalou: «A Coreia do Norte não se preocupa com a sua reputação nem com a identificação final, pelo que, embora estes actos sejam muito chamativos, ainda estão dispostos a pagar este tipo de custo.»

O investigador de segurança John Hammond, da Huntress, acrescentou ainda que este momento foi «perfeitamente oportuno», apontando que as organizações estão a adoptar em grande escala agentes de IA para desenvolver software, «sem qualquer verificação ou restrição», o que torna as falhas na cadeia de fornecimento mais fáceis de serem exploradas de forma sistemática.

Conclusões da investigação: dimensão das vítimas e direcção futura dos ataques

Actualmente, a investigação revela ameaças em múltiplas dimensões:

Equipamentos afectados: A Huntress já identificou cerca de 135 equipamentos comprometidos, pertencentes a cerca de 12 empresas, estimando-se que seja apenas uma pequena parte da dimensão real das vítimas

Tempo de avaliação: O CTO da Mandiant, Charles Carmakal, alerta que a avaliação completa do impacto deste ataque poderá exigir vários meses

Próxima direcção dos ataques: A Mandiant prevê que os atacantes usarão as credenciais roubadas e as permissões de acesso aos sistemas para focalizar ainda mais os activos criptografados empresariais e os roubar

Vulnerabilidades na cadeia de fornecimento: Hammond aponta que «muitas pessoas já não se preocupam com a composição do software que utilizam, o que cria uma grande vulnerabilidade em toda a cadeia de fornecimento»

Contexto histórico: actualização sistemática do roubo digital da Coreia do Norte

O ataque ao axios é o caso mais recente de infiltração sistemática, por parte de Pyongyang, na cadeia de fornecimento de software. Há três anos, agentes presumivelmente norte-coreanos teriam infiltrado outro fornecedor de software de voz e vídeo muito popular; no ano passado, hackers norte-coreanos roubaram, num único ataque, criptomoedas no valor de 1,5 mil milhões de dólares, estabelecendo um recorde histórico, à época, para casos de pirataria cripto.

Relatórios das Nações Unidas e de várias instituições privadas indicam que, nos últimos anos, os hackers norte-coreanos já terão roubado dezenas de mil milhões de dólares de bancos e de empresas de criptomoedas. Em 2023, funcionários da Casa Branca revelaram que cerca de metade do financiamento dos programas de mísseis da Coreia do Norte provém deste tipo de roubo digital, conferindo a esta ameaça de segurança um significado estratégico internacional directo.

Perguntas frequentes

O que é o axios e por que razão se tornou o alvo deste ataque à cadeia de fornecimento?

O axios é um pacote central do JavaScript npm amplamente utilizado (a versão atacada é a 1.14.1), que ajuda os programadores a gerir pedidos HTTP de websites, sendo adoptado por milhares de empresas de saúde, finanças e tecnologia. O seu volume de downloads muito elevado faz dele um alvo de alto valor para ataques à cadeia de fornecimento — ao invadir uma conta de um programador, é possível enviar código malicioso para um grande número de organizações a jusante em apenas algumas horas.

Que riscos concretos é que este ataque implica para empresas de criptomoedas?

A avaliação da Mandiant indica que os atacantes usarão as credenciais roubadas para invadir ainda mais empresas que detêm activos criptográficos. Empresas de criptomoedas e empresas tecnológicas que utilizem a versão do axios comprometida podem já, sem o saber, fornecer aos atacantes uma porta de acesso às suas redes internas, colocando em risco chaves privadas de carteiras, chaves de API e credenciais de transacção, que podem ser roubadas.

Como é que as empresas devem avaliar e responder a este ataque à cadeia de fornecimento do axios?

Recomenda-se executar imediatamente os passos seguintes: confirmar se a versão do axios no sistema é a versão atacada; rever os registos de actualização do software no período em que o ataque ocorreu (na janela de três horas de terça-feira de manhã); verificar se existem acessos a credenciais anómalos ou comportamentos de ligação externa; e contactar entidades de segurança como a Huntress e a Mandiant para uma avaliação profissional.