Atualização 31 de março de 2026, 13:28 UTC: Este artigo foi atualizado para incluir comentários de Abdelfattah Ibrahim, engenheiro sênior de segurança ofensiva da Hacken.
Duas versões maliciosas do Axios npm levaram a avisos para os desenvolvedores rotacionarem credenciais e tratarem os sistemas afetados como comprometidos, após um ataque à cadeia de suprimentos envenenar a popular biblioteca cliente HTTP JavaScript.
A violação foi inicialmente relatada pela empresa de cibersegurança Socket, que afirmou que axios@1.14.1 e axios@0.30.4 foram modificados para puxar plain-crypto-js@4.2.1, uma dependência maliciosa que foi executada automaticamente durante a instalação antes que as versões fossem removidas do npm.
De acordo com a empresa de segurança OX Security, o código alterado pode dar aos invasores acesso remoto a dispositivos infectados, permitindo-lhes roubar dados sensíveis, como credenciais de login, chaves de API e informações de carteiras de criptomoedas.
O incidente mostra como um único componente de código aberto comprometido pode ter um efeito cascata em milhares de aplicações que dependem dele, expondo não apenas desenvolvedores, mas também plataformas e usuários conectados ao sistema.
A OX Security alertou os desenvolvedores que instalaram axios@1.14.1 ou axios@0.30.4 para tratarem seus sistemas como totalmente comprometidos e rotacionarem imediatamente as credenciais, incluindo chaves de API e tokens de sessão.
A Socket disse que as versões comprometidas do Axios foram modificadas para incluir uma dependência de plain-crypto-js@4.2.1, um pacote publicado pouco antes do incidente e posteriormente identificado como malicioso.
Relacionado: Extensão de navegador da Trust Wallet sai do ar por 'bug' da Chrome Store, diz CEO
A empresa disse que a dependência foi configurada para ser executada automaticamente durante a instalação por meio de um script de pós-instalação, permitindo que os invasores executem código em sistemas-alvo sem interação adicional do usuário.
A Socket aconselhou os desenvolvedores a revisar seus projetos e arquivos de dependência em busca das versões afetadas do Axios e do pacote plain-crypto-js@4.2.1 associado, e a remover ou reverter quaisquer versões comprometidas imediatamente.
Abdelfattah Ibrahim, engenheiro sênior de segurança ofensiva da Hacken, disse ao Cointelegraph que a violação pode ter sérias implicações para aplicações relacionadas a criptomoedas que dependem do Axios para operações de backend.
“Essa é uma má notícia para dapps e aplicativos que lidam com criptomoedas, pois o Axios desempenha um papel fundamental nas chamadas de API”, disse ele, observando que os sistemas afetados podem incluir integrações de exchanges, verificações de saldo de carteira e transmissões de transações.
Ibrahim disse que o malware implantado no ataque funciona como um trojan de acesso remoto completo, permitindo que os invasores interajam diretamente com os sistemas comprometidos. Ele acrescentou que o incidente destaca uma fraqueza mais ampla na forma como os riscos da cadeia de suprimentos são tratados.
Incidentes anteriores de criptomoedas mostraram como as violações da cadeia de suprimentos podem escalar de informações de desenvolvedores roubadas para perdas de carteiras voltadas para o usuário.
Em 3 de janeiro, o investigador on-chain ZachXBT relatou que “centenas” de carteiras em redes compatíveis com a Ethereum Virtual Machine foram esvaziadas em um ataque amplo que desviou pequenas quantias de cada vítima.
O pesquisador de cibersegurança Vladimir S. disse que o incidente estava potencialmente ligado a uma violação de dezembro que afetou a Trust Wallet, resultando em aproximadamente US$ 7 milhões em perdas em mais de 2.500 carteiras.
A Trust Wallet disse mais tarde que a violação pode ter se originado de um comprometimento da cadeia de suprimentos envolvendo pacotes npm usados em seu fluxo de trabalho de desenvolvimento.
Revista: Ninguém sabe se a criptografia quântica segura realmente funcionará