Na ocasião, os criminosos publicaram versões maliciosas no npm, o repositório central de pacotes do ecossistema Node.

O ataque instalou silenciosamente um trojan de acesso remoto em sistemas de desenvolvedores que atualizaram o pacote naquele dia.

O ponto de entrada não foi uma falha técnica no axios, mas apenas uma pessoa.

Semanas antes do comprometimento, os atacantes miraram Jason Saayman, mantenedor principal da biblioteca, com uma campanha de engenharia social.

O termo descreve ataques baseados em manipulação humana, em vez de exploração de vulnerabilidades de software.

Os atacantes se passaram por uma empresa legítima, clonaram sua identidade visual e criaram um workspace no Slack com canais ativos, perfis falsos de funcionários e publicações do Linked In vinculadas à conta real da organização.

A encenação era convincente o suficiente para que Saayman não desconfiasse.

O golpe foi concluído durante uma videochamada agendada pelos atacantes.

No meio da reunião, uma mensagem de erro foi exibida na tela de Saayman, alegando que algo no sistema estava desatualizado.

A solução apresentada era instalar uma atualização do Microsoft Teams, mas o arquivo era na verdade um RAT, malware que dá ao atacante controle remoto sobre o dispositivo da vítima.

Com acesso à máquina de Saayman, os atacantes obtiveram as credenciais que ele usava para publicar versões do axios no npm.