A biblioteca Axios foi alvo de um ataque à cadeia de abastecimento, os hackers roubaram tokens npm e inseriram malware, afetando cerca de 80% dos ambientes na cloud

Notícias da Gate News, 2 de abril, a biblioteca de clientes HTTP mais popular do JavaScript, o Axios, foi alvo de um ataque à cadeia de abastecimento. Os atacantes roubaram o token de acesso ao npm do principal mantenedor do Axios e, usando esse token, publicaram duas versões maliciosas que continham um trojan de acesso remoto (RAT) multiplataforma (axios@1.14.1 e axios@0.30.4), com o objectivo de abranger sistemas macOS, Windows e Linux. Os pacotes maliciosos permaneceram no registo do npm durante cerca de 3 horas antes de serem removidos. De acordo com dados da empresa de segurança Wiz, o Axios tem mais de 100 milhões de downloads semanais e está presente em cerca de 80% dos ambientes de nuvem e de código. A empresa de segurança Huntress detectou as primeiras infecções apenas 89 segundos após a disponibilização dos pacotes maliciosos e, durante a janela de exposição, confirmou pelo menos 135 sistemas comprometidos. É de destacar que o projecto do Axios já tinha implementado medidas de segurança modernas como um mecanismo de publicação confiável OIDC e provas de rastreabilidade SLSA, mas os atacantes contornaram completamente essas defesas. A investigação revelou que o projecto, ao mesmo tempo que configurava o OIDC, continuava a manter um NPM_TOKEN tradicional com validade prolongada, e que, quando ambos coexistem, o npm dá prioridade por defeito ao token tradicional, permitindo que os atacantes efectuassem a publicação sem ter de ultrapassar o OIDC.