Uma operação atribuída ao cluster UNC1069 usou engenharia social de alto nível para comprometer o maintainer do Axios, uma das bibliotecas mais usadas no ecossistema JavaScript. Em vez de explorar uma falha técnica, o grupo montou um cenário corporativo falso e induziu a vítima a instalar um suposto “update” durante uma chamada no Microsoft Teams. O update era, na prática, um RAT.
Axios tem cerca de 100 milhões de downloads por semana e é presença comum em ambientes de cloud. Em poucas horas, versões maliciosas ficaram disponíveis tempo suficiente para:
O maintainer relatou ter MFA habilitado “praticamente em tudo”. Ainda assim, a engenharia social venceu. Ou seja: o problema não foi senha fraca, mas um playbook desenhado para quebrar a confiança humana. É um ataque que trata a vítima como interface — e isso ignora a maior parte dos controles técnicos tradicionais.
O mesmo cluster já foi ligado a compromissos recentes envolvendo Trivy, KICS, LiteLLM e até GitHub Actions. A mensagem é clara: o supply chain open source está virando alvo prioritário de operações persistentes — com impacto que escala muito além do maintainer atacado.
1) Verifique versões instaladas (builds e lockfiles):
2) Procure indícios de execução do pacote malicioso:
3) Rotacione credenciais se houver qualquer dúvida:
4) Proteja próximos releases:
Um único maintainer, uma call fake, e 100 milhões de downloads viraram vetor em questão de horas. A moral da história é simples e cruel: se o ecossistema depende de confiança individual, ele precisa começar a tratar maintainers como ativos críticos — não como hobby.
Pesquisa da Wiz mostra que Claude Code, Amazon Q, Cursor, Google Antigravity, Augment e Windsurf…
Bruxelas admite que 70% da nuvem europeia esta em maos estrangeiras e responde com nove…
Nova familia GodDamn, rebrand de Beast/Monster, chega com driver kernel PoisonX que silencia EDRs. Symantec…
PL 762/2026 e PL 704/2026 ao lado do PL 2338 desenham a nova regulação de…
ROMA da Sentient AGI usa decomposição recursiva com Atomizer/Planner/Executor/Aggregator e supera baselines em SEAL-0, FRAMES…
Co-Scientist do DeepMind sai da demo, ganha paper na Nature e abre acesso via Gemini…