A CrowdStrike atribuiu com confiança moderada o comprometimento do pacote npm do Axios ao grupo de ameaças STARDUST CHOLLIMA, ligado à Coreia do Norte. O ataque, ocorrido em 31 de março, utilizou credenciais de mantedor roubadas para injetar variantes atualizadas do malware ZshBucket na popular biblioteca HTTP, que é baixada mais de 100 mil vezes por semana.
Evolução do malware
De acordo com a análise da CrowdStrike Counter Adversary Operations, o ZshBucket foi atualizado para operar nos sistemas Linux, macOS e Windows – anteriormente, apenas variantes para macOS haviam sido observadas. A nova versão implementa um protocolo de mensagens padronizado em JSON e introduz comandos que permitem ao operador injetar binários, executar scripts e comandos arbitrários, enumerar o sistema de arquivos e encerrar remotamente o implante. Essas funções substituem a funcionalidade anterior, mais simples, de apenas baixar e executar código.
Infraestrutura compartilhada
O domínio sfrclak[.]com, usado como servidor de comando e controle (C2), compartilha hash de banner de serviços com dois endereços IP adicionais: 23.254.203[.]244, conhecido do STARDUST CHOLLIMA desde dezembro de 2025, e 23.254.167[.]216, previamente usado como C2 pelo malware InvisibleFerret do grupo FAMOUS CHOLLIMA em maio de 2025. A CrowdStrike observa que atores ligados à Coreia do Norte frequentemente compartilham infraestrutura.
Motivação e escala
A CrowdStrike avalia que a motivação do ataque provavelmente está alinhada com a geração de receita, um objetivo prioritário do STARDUST CHOLLIMA, que historicamente mira detentores de criptomoedas e realiza comprometimentos em cadeia de suprimentos afetando repositórios npm e PyPI de empresas de tecnologia financeira. A empresa alerta que, desde o final do quarto trimestre de 2025, o ritmo operacional do grupo aumentou significativamente, e este ataque é mais uma evidência de que o adversário pretende escalar suas operações no curto prazo.






