×

Alerta de Segurança: Vulnerabilidade Crítica em Axios e o que Fazer

Destaque

Tecnologia , , , , ,

Alerta de Segurança: Vulnerabilidade Crítica em Axios e o que Fazer

temp_image_1774956862.666105 Alerta de Segurança: Vulnerabilidade Crítica em Axios e o que Fazer



Alerta de Segurança: Vulnerabilidade Crítica em Axios e o que Fazer

Alerta de Segurança: Vulnerabilidade Crítica em Axios e o que Fazer

Uma recente invasão na conta de um mantenedor do Axios, uma biblioteca HTTP amplamente utilizada em projetos JavaScript, resultou na publicação de versões maliciosas do pacote no npm. Essa falha de segurança, que ocorreu em 31 de março de 2026, expôs um número significativo de ambientes de desenvolvimento e produção a riscos potenciais.

O que Aconteceu?

O invasor comprometeu a conta npm de um mantenedor do Axios e publicou duas versões maliciosas (v1.14.1 e v0.30.4). Essas versões introduziram uma dependência em um pacote malicioso recém-criado chamado plain-crypto-js. Apesar de as versões comprometidas terem sido removidas em poucas horas, a vasta popularidade do Axios – presente em aproximadamente 80% dos ambientes de nuvem e código, com cerca de 100 milhões de downloads semanais – permitiu uma rápida disseminação. Estima-se que 3% dos ambientes afetados tenham executado o código malicioso.

Como o Ataque Funcionou?

As versões maliciosas do Axios continham um dropper (setup.js) que baixava e executava payloads específicos para cada plataforma a partir do servidor sfrclak.com:8000. Após a execução, o dropper se autoexcluía e restaurava um arquivo package.json limpo, dificultando a detecção inicial.

Os payloads funcionam como Remote Access Trojans (RATs) leves, comunicando-se com um servidor de Comando e Controle (C2) a cada 60 segundos para transmitir informações do sistema e aguardar comandos.

Payloads por Sistema Operacional:

  • macOS: Um binário universal Mach-O compilado em C++, capaz de autoassinatura de payloads injetados via codesign.
  • Windows: Um script PowerShell que estabelece persistência através de uma chave Run no registro (MicrosoftUpdate) e um arquivo batch para re-download.
  • Linux: Um script Python.

O que Você Precisa Fazer?

Ações imediatas são cruciais para mitigar os riscos associados a essa vulnerabilidade:

  1. Auditoria de Uso do Axios: Identifique se as versões afetadas (1.14.1 e 0.30.4) foram baixadas ou executadas em seu ambiente.
  2. Remoção de Artefatos Maliciosos: Remova imediatamente quaisquer artefatos maliciosos de endpoints, sistemas de build e ambientes de produção.
  3. Rotação de Credenciais Expostas: Se houver indícios de que os pacotes maliciosos foram executados, presuma que as credenciais foram comprometidas. Analise os sistemas afetados em busca de segredos (variáveis de ambiente, chaves de API, tokens) e os rotacione.
  4. Investigação de Caminhos de Comprometimento: Revise os pipelines de build e as máquinas dos desenvolvedores em busca de sinais de acesso não autorizado ou persistência.
  5. Monitoramento de Atividades Suspeitas: Detecte e investigue conexões de saída para sfrclak.com:8000, analise logs em busca de comportamentos de beaconing, solicitações HTTP POST anômalas ou execução inesperada de processos relacionados à instalação de pacotes.

Recursos Adicionais

Para obter mais informações e assistência, consulte os seguintes recursos:

Se você estiver preocupado com o impacto potencial, entre em contato com a equipe de resposta a incidentes da Wiz.

A segurança da sua cadeia de suprimentos de software é fundamental. Mantenha-se vigilante e adote práticas de segurança robustas para proteger seus projetos contra ameaças como essa.


Compartilhar:

Tag

Veja também