- Hackers ligados à Coreia do Norte invadiram o software usado por milhares de empresas nos Estados Unidos, comprometendo o desenvolvimento do Axios, software de código aberto.
- Durante cerca de três horas na manhã do dia 31, as invasões permitiram envio de atualizações maliciosas para organizações que haviam baixado o software.
- A Mandiant, empresa de inteligência cibernética do Google, atribui o ataque ao grupo de hackers norte‑coreanos.
- A expectativa é de que os invasores tentem usar o acesso para roubar criptomoedas e financiar programas do regime; os impactos totais devem levar meses para serem avaliados.
- A primeira análise aponta cento e trinta e cinco dispositivos comprometidos, em quinze empresas, mas esse número pode crescer à medida que mais alvos são identificados.
Hackers ligados à Coreia do Norte invadiram um software amplamente utilizado por empresas nos Estados Unidos, em uma ação que pode levar meses para ser totalmente compreendida e contida. A invasão ocorreu na manhã de terça-feira, 31, por cerca de três horas, atingindo a conta de um desenvolvedor responsável pelo Axios, software de código aberto.
Durante esse intervalo, as equipes de segurança monitoraram atualizações maliciosas enviadas a empresas que haviam baixado o software. A Axios é utilizado por setores que vão da saúde às finanças para gerenciar sites, além de ser empregado por algumas empresas que lidam com criptoativos.
A Mandiant, unidade de inteligência cibernética do Google, atribui o ataque a um grupo de hackers da Coreia do Norte. Segundo Charles Carmakal, diretor técnico da Mandiant, a chance é alta de que o grupo tente extrair criptomoedas das vítimas para financiar o regime, com impactos ainda por mensurar.
John Hammond, pesquisador da Huntress, informou que a empresa identificou cerca de 135 dispositivos comprometidos pertencentes a aproximadamente 12 organizações. Esse número, contudo, representa parte do alcance total, que tende a crescer conforme mais vítimas forem detectadas.
Este episódio marca mais um ataque significativo à cadeia de suprimentos atribuído ao governo norte-coreano. Em anos anteriores, hackers ligados ao regime invadiram softwares usados por setores como saúde e hotelaria para chamadas de voz e vídeo.
A atuação externa do grupo é apontada como uma fonte relevante de receita para a Coreia do Norte, país sob sanções internacionais. Relatórios de organizações internacionais e de empresas privadas indicam que bilhões de dólares teriam sido desviados em ataques similares.
Funcionário da Casa Branca destacou, em 2023, que parte do financiamento do programa de mísseis norte-coreano pode vir desses incidentes digitais. O ano anterior registrou uma incursão que resultou no roubo de US$ 1,5 bilhão em criptomoedas, entre os maiores já registrados.
Ben Read, da Wiz, comentou que a Coreia do Norte não teme a exposição pública de suas operações, que costumam ocorrer com alto perfil. Ele destacou que o custo de reputação é compensado pelo objetivo de ganhos financeiros.
Hammond, da Huntress, descreveu o ataque como cronometrado, associando-o à expansão do uso de inteligência artificial na criação de software sem revisões adequadas. Segundo ele, a maior vulnerabilidade da cadeia de suprimentos hoje é a ausência de checagens nos componentes.
Entre na conversa da comunidade