Slow Fog semnalează versiuni axios malițioase care includ malware-ul plain-crypto-js, expunând dezvoltatorii cripto la troieni de acces la distanță (RAT) multiplatformă și la credențiale furate prin npm.
Firma de securitate blockchain Slow Fog a emis o alertă de securitate urgentă după ce versiunile recent publicate [email protected] și [email protected] au inclus o dependență malițioasă, [email protected], transformând unul dintre cei mai utilizați clienți HTTP ai JavaScript-ului într-o armă de atac asupra lanțului de aprovizionare împotriva dezvoltatorilor cripto. Axios înregistrează peste 80 de milioane de descărcări săptămânale pe npm, ceea ce înseamnă că chiar și o compromitere de scurtă durată poate avea un impact asupra backend-urilor de portofel, roboților de tranzacționare, schimburilor și infrastructurii DeFi construite pe Node.js. În avertismentul său, Slow Fog a precizat că „utilizatorii care au instalat [email protected] prin npm install -g sunt potențial expuși,” recomandând rotirea imediată a credențialelor și o investigație amănunțită a sistemelor pentru a identifica semne de compromitere.
Atacul se bazează pe un pachet de criptografie fals, [email protected], care este adăugat silențios ca o nouă dependență și folosit exclusiv pentru a executa un script postinstall ofuscat ce instalează un troian de acces la distanță (RAT) multiplatformă, vizând sistemele Windows, macOS și Linux.
Firma de securitate StepSecurity a explicat că „niciuna dintre versiunile malițioase nu conține o singură linie de cod malițios în interiorul Axios,” și că, în schimb, „ambele injectează o dependență falsă, [email protected], al cărei singur scop este să ruleze un script postinstall care instalează un troian de acces la distanță (RAT) multiplatformă.” Echipa de cercetare a Socket a observat că pachetul malițios plain-crypto-js a fost publicat cu doar câteva minute înainte de versiunea compromisă de axios, numind-o un „atac coordonat asupra lanțului de aprovizionare” împotriva ecosistemului JavaScript.
Potrivit StepSecurity, versiunile malițioase de axios au fost publicate folosind credențiale npm furate, aparținând administratorului principal „jasonsaayman,” permițând atacatorilor să ocolească fluxul obișnuit de lansare bazat pe GitHub al proiectului. „Este o compromitere activă a lanțului de aprovizionare în [email protected], care depinde acum de [email protected] — un pachet publicat cu ore înainte și identificat ca malware ofuscat care execută comenzi shell și șterge urmele,” a scris inginerul de securitate Julian Harris pe LinkedIn. npm a eliminat acum versiunile malițioase și a revenit la versiunea axios 1.14.0, dar orice mediu care a descărcat 1.14.1 sau 0.3.4 în timpul ferestrei de atac rămâne expus riscului până când secretele sunt rotite și sistemele sunt reconstruite.
Compromiterea amintește de incidente npm anterioare care au vizat direct utilizatorii de cripto, inclusiv o campanie din 2025 în care 18 pachete populare precum chalk și debug au schimbat în secret adresele de portofel pentru a fura fonduri, determinându-l pe Charles Guillemet, CTO la Ledger, să avertizeze că „pachetele afectate au fost deja descărcate de peste 1 miliard de ori.” Cercetătorii au documentat, de asemenea, malware npm care fură chei din portofelele Ethereum, XRP și Solana, iar SlowMist a estimat că hack-urile și fraudele cripto — inclusiv pachete cu backdoors și atacuri asupra lanțului de aprovizionare asistate de AI — au cauzat pierderi de peste 2,3 miliarde de dolari doar în prima jumătate a anului 2025. Deocamdată, sfatul Slow Fog este direct: retrogradați axios la 1.14.0, auditați dependențele pentru orice urmă de [email protected] sau openclaw și presupuneți că orice credențiale utilizate în acele medii sunt compromise.
Într-un articol anterior crypto.news despre atacurile asupra lanțului de aprovizionare JavaScript, Guillemet de la Ledger a avertizat că pachetele npm compromise, cu peste 2 miliarde de descărcări săptămânale, reprezentau un risc sistemic pentru dApps și portofelele construite pe Node.js. Un alt articol a detaliat cum Grupul Lazarus din Coreea de Nord a plantat pachete npm malițioase pentru a insera backdoors în mediile dezvoltatorilor și a viza utilizatorii portofelelor Solana și Exodus. Un al treilea articol crypto.news despre malware de nouă generație a arătat cum atacurile de tip backdoor asupra lanțului de aprovizionare prin npm și instrumente AI cu costuri reduse au ajutat criminalii să controleze de la distanță peste 4.200 de mașini ale dezvoltatorilor și au contribuit la pierderi de miliarde de dolari în criptomonede.