A biblioteca Axios foi alvo de um ataque à cadeia de abastecimento, com hackers a utilizarem tokens npm roubados para inserir um cavalo de Tróia remoto, afetando cerca de 80% do ambiente em nuvem

Notícia Deep Tide TechFlow, a 02 de abril, segundo a VentureBeat, os atacantes roubaram o token de acesso npm do principal mantenedor da biblioteca mais popular de clientes HTTP em JavaScript, Axios, e usaram esse token para publicar duas versões maliciosas que continham um cavalo de Troia de acesso remoto (RAT) multiplataforma (axios@1.14.1 e axios@0.30.4), visando sistemas que abrangem macOS, Windows e Linux. Após cerca de 3 horas de permanência no registo npm, os pacotes maliciosos foram removidos.

De acordo com os dados da empresa de segurança Wiz, o Axios tem mais de 100 milhões de downloads semanais e está presente em cerca de 80% dos ambientes de nuvem e de código. A empresa de segurança Huntress detetou as primeiras infeções apenas 89 segundos após a publicação dos pacotes maliciosos e confirmou, durante a janela de exposição, pelo menos 135 sistemas comprometidos.

É de salientar que o projeto Axios já tinha implementado medidas modernas de segurança, como o mecanismo de publicação fidedigna com OIDC e provas de rastreabilidade SLSA, mas o atacante contornou completamente essas defesas. A investigação revelou que o projeto, ao mesmo tempo que configurou o OIDC, manteve também um NPM_TOKEN tradicional de longa duração, e que quando ambos coexistem o npm dá prioridade por defeito ao token tradicional, permitindo ao atacante concluir a publicação sem ter de contornar o OIDC.