La biblioteca Axios fue atacada a través de la cadena de suministro; los piratas informáticos robaron tokens de npm e insertaron malware, afectando a alrededor del 80% de los entornos en la nube.

Noticias de Gate News, el 2 de abril, la popular biblioteca de clientes HTTP más usada de JavaScript, Axios, fue víctima de un ataque de cadena de suministro. Los atacantes robaron el token de acceso de npm del principal mantenedor de Axios y, usando ese token, publicaron dos versiones maliciosas que contenían troyanos de acceso remoto (RAT) multiplataforma (axios@1.14.1 y axios@0.30.4), con el objetivo de cubrir sistemas macOS, Windows y Linux. Los paquetes maliciosos permanecieron en el registro de npm durante aproximadamente 3 horas antes de ser eliminados. Según los datos de la empresa de seguridad Wiz, Axios tiene más de 100 millones de descargas semanales y está presente en aproximadamente el 80% de los entornos en la nube y de código. La empresa de seguridad Huntress detectó las primeras infecciones apenas 89 segundos después de que los paquetes maliciosos se publicaran y, durante la ventana de exposición, confirmó al menos 135 sistemas comprometidos. Cabe destacar que el proyecto de Axios ya había implementado medidas de seguridad modernas como un mecanismo de publicación confiable OIDC y pruebas de trazabilidad SLSA, pero el atacante las eludió por completo. La investigación descubrió que, mientras el proyecto configuraba OIDC, aún conservaba un NPM_TOKEN tradicional de larga duración, y que cuando ambos coexistían, npm por defecto priorizaba el token tradicional, lo que permitió al atacante completar la publicación sin necesidad de eludir OIDC.