Slow Fog sinaliza lançamentos maliciosos do axios que fazem download de malware plain-crypto-js, expondo programadores de cripto a RATs de acesso remoto (remoto) multiplataforma e a credenciais roubadas via npm.

Resumo

• A Slow Fog sinaliza [email protected] e [email protected] como maliciosos após uma intrusão na conta do mantenedor.
• O pacote injetado [email protected] largа um trojan de acesso remoto (RAT) multiplataforma através de scripts postinstall.
• Pede-se aos programadores que usem [email protected] para rodar as credenciais e inspecionar os anfitriões, à medida que a npm reverte o axios para 1.14.0.

A empresa de segurança blockchain Slow Fog emitiu um lembrete de segurança urgente após as recém-publicadas versões [email protected] e [email protected] terem puxado uma dependência maliciosa, [email protected], transformando um dos clientes HTTP mais usados em JavaScript numa arma de cadeia de abastecimento contra programadores de cripto. A Axios regista mais de 80 milhões de downloads semanais na npm, o que significa que mesmo uma falha de curta duração pode repercutir em backends de carteiras, bots de trading, bolsas e infraestruturas DeFi construídas em Node.js. No seu advisory, a Slow Fog alertou que “os utilizadores que instalaram [email protected] via npm install -g estão potencialmente expostos”, recomendando a rotação imediata das credenciais e uma investigação minuciosa no lado dos hosts para sinais de comprometimento.

O ataque assenta num pacote de criptografia falso, [email protected], que é adicionado silenciosamente como uma nova dependência e usado apenas para executar um script postinstall ofuscado que largа um RAT (trojan de acesso remoto) multiplataforma direccionado a sistemas Windows, macOS e Linux.

A empresa de segurança StepSecurity explicou que “nem a versão maliciosa contém uma única linha de código malicioso dentro do Axios em si” e que, em vez disso, “ambas injetam uma dependência falsa, [email protected], cujo único propósito é executar um script postinstall que implementa um trojan de acesso remoto multiplataforma (RAT).” A equipa de investigação da Socket referiu que o pacote malicioso plain-crypto-js foi publicado minutos antes do lançamento comprometido do axios, chamando-lhe “um ataque coordenado à cadeia de abastecimento” contra o ecossistema JavaScript.

Conta do mantenedor do Axios sequestrada

De acordo com a StepSecurity, os lançamentos maliciosos do axios foram enviados usando credenciais roubadas da npm pertencentes ao principal mantenedor “jasonsaayman”, permitindo aos atacantes contornar o fluxo habitual de releases baseado no GitHub do projeto. “É um comprometimento vivo da cadeia de abastecimento em [email protected], que passa a depender de [email protected] — um pacote publicado horas antes e identificado como malware ofuscado que executa comandos shell e apaga vestígios”, escreveu o engenheiro de segurança Julian Harris no LinkedIn. A npm já removeu as versões maliciosas e reverteu a resolução do axios de volta para 1.14.0, mas qualquer ambiente que tenha puxado 1.14.1 ou 0.3.4 durante a janela do ataque continua em risco até que as segredos sejam rodados e os sistemas sejam reconstruídos.

O comprometimento ecoa incidentes anteriores da npm que visaram diretamente utilizadores de cripto, incluindo uma campanha de 2025 em que 18 pacotes populares como chalk e debug trocaram silenciosamente endereços de carteira para roubar fundos, levando o CTO da Ledger Charles Guillemet a alertar que “os pacotes afetados já foram descarregados mais de 1 milhar de milhão de vezes”. Os investigadores documentaram também malware da npm a roubar chaves de carteiras Ethereum, XRP e Solana, e a SlowMist estimou que hacks e fraudes em cripto — incluindo pacotes backdoored e ataques à cadeia de abastecimento assistidos por IA — causaram mais de 2,3 mil milhões de dólares em perdas apenas no primeiro semestre de 2025. Por agora, o conselho da Slow Fog é direto: faça downgrade do axios para 1.14.0, audite dependências à procura de qualquer rasto de [email protected] ou openclaw, e assuma que quaisquer credenciais tocadas por esses ambientes estão comprometidas.

Avisos anteriores sobre a cadeia de abastecimento de software

Numa história anterior da crypto.news sobre ataques à cadeia de abastecimento em JavaScript, o Guillemet da Ledger alertou que pacotes comprometidos da npm com mais de 2 mil milhões de downloads semanais representavam um risco sistémico para dApps e carteiras construídas em Node.js. Outra história detalhou como o Grupo Lazarus da Coreia do Norte plantou pacotes maliciosos da npm para criar backdoors em ambientes de programadores e visar utilizadores de carteiras Solana e Exodus. Uma terceira história da crypto.news sobre malware de próxima geração mostrou como ataques a backdoor na cadeia de abastecimento via npm e ferramentas de IA baratas ajudaram criminosos a controlar remotamente mais de 4.200 máquinas de programadores e contribuíram para perdas de biliões de dólares em cripto.