Biblioteca Axios atingida por ataque de cadeia de suprimentos, pacotes maliciosos afetam 80% dos ambientes em nuvem

iconChaincatcher
Compartilhar
AI summary iconResumo
Notícias on-chain surgiram quando a biblioteca JavaScript Axios se tornou vítima de um ataque à cadeia de suprimentos, com atacantes publicando dois pacotes maliciosos do npm contendo RATs multiplataforma. Os pacotes, axios@1.14.1 e axios@0.3.4, foram removidos após três horas, mas 135 sistemas já estavam infectados. A Axios é utilizada em 80% dos ambientes em nuvem, com mais de 100 milhões de downloads semanais. Os atacantes contornaram medidas de segurança explorando um NPM_TOKEN de longa duração. Novas listagens de tokens permanecem um foco para desenvolvedores, mas esse incidente destaca riscos contínuos nos ecossistemas de código aberto.

ChainCatcher relata que o atacante roubou o token de acesso npm do principal mantenedor da biblioteca HTTP mais popular em JavaScript, o Axios, e usou esse token para publicar duas versões maliciosas contendo um Trojan de acesso remoto multiplataforma (RAT) — axios@1.14.1 e axios@0.3.4 — visando sistemas macOS, Windows e Linux. Os pacotes maliciosos permaneceram no registro npm por cerca de 3 horas antes de serem removidos. Segundo dados da empresa de segurança Wiz, o Axios tem mais de 100 milhões de downloads semanais e está presente em aproximadamente 80% dos ambientes em nuvem e de código. A empresa de segurança Huntress detectou as primeiras infecções apenas 89 segundos após o lançamento do pacote malicioso e confirmou, durante a janela de exposição, pelo menos 135 sistemas comprometidos. É importante notar que o projeto Axios já havia implementado medidas modernas de segurança, como o mecanismo de publicação confiável OIDC e a prova de rastreabilidade SLSA, mas o atacante contornou completamente essas proteções. A investigação descobriu que, embora o projeto tivesse configurado o OIDC, ainda mantinha um NPM_TOKEN tradicional de longa duração, e o npm, por padrão, prioriza o token tradicional quando ambos coexistem, permitindo que o atacante publicasse sem precisar contornar o OIDC.

Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações. Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.