A biblioteca Axios foi alvo de um ataque à cadeia de abastecimento, com hackers a utilizarem tokens npm roubados para inserir um cavalo de Tróia remoto, afetando cerca de 80% dos ambientes em nuvem

Mensagem TechFlow de Deep Tide, a 02 de abril, segundo a VentureBeat, os atacantes roubaram o token de acesso npm do principal mantenedor da biblioteca JavaScript HTTP mais popular, a Axios, e utilizaram esse token para publicar duas versões maliciosas que incluem trojans de acesso remoto (RAT) multiplataforma (axios@1.14.1 e axios@0.30.4), com alvo nos sistemas macOS, Windows e Linux. Os pacotes maliciosos permaneceram no registo npm por cerca de 3 horas antes de serem removidos.

De acordo com dados da empresa de segurança Wiz, a Axios tem mais de 100 milhões de downloads semanais e está presente em cerca de 80% dos ambientes de nuvem e de código. A empresa de segurança Huntress detetou as primeiras infeções apenas 89 segundos após o lançamento dos pacotes maliciosos e, durante a janela de exposição, confirmou pelo menos 135 sistemas comprometidos.

É de notar que o projeto Axios já tinha implementado medidas de segurança modernas, como um mecanismo de publicação confiável OIDC e provas de rastreabilidade SLSA, mas os atacantes contornaram completamente essas defesas. A investigação descobriu que o projeto, ao mesmo tempo que configurava o OIDC, mantinha ainda um NPM_TOKEN tradicional com validade prolongada; quando ambos coexistem, o npm dá prioridade por omissão ao token tradicional, o que permitiu aos atacantes efetuar a publicação sem ter de ultrapassar o OIDC.