Atualização 31 de março de 2026, 13:28 UTC: Este artigo foi atualizado para adicionar comentários de Abdelfattah Ibrahim, engenheiro sénior de segurança ofensiva na Hacken.
Dois lançamentos maliciosos do Axios npm levaram a avisos para que os programadores rodem as credenciais e tratem os sistemas afetados como comprometidos após um ataque à cadeia de fornecimento que contaminou a popular biblioteca de cliente HTTP JavaScript.
O comprometimento foi relatado pela primeira vez pela empresa de cibersegurança Socket, que disse que [email protected] e [email protected] foram modificados para incluir [email protected], uma dependência maliciosa que foi executada automaticamente durante a instalação antes de os lançamentos serem removidos do npm.
De acordo com a empresa de segurança OX Security, o código alterado pode dar aos atacantes acesso remoto a dispositivos infetados, permitindo-lhes roubar dados sensíveis como credenciais de início de sessão, chaves API e informações de carteira de criptomoedas.
O incidente mostra como um único componente de código aberto comprometido pode potencialmente propagar-se por milhares de aplicações que dependem dele, expondo não apenas programadores, mas também plataformas e utilizadores ligados ao sistema.
Empresas de segurança recomendam rotação de chaves e auditorias de sistema
A OX Security alertou os programadores que instalaram [email protected] ou [email protected] para tratarem os seus sistemas como totalmente comprometidos e rodarem imediatamente as credenciais, incluindo chaves API e tokens de sessão.
A Socket disse que os lançamentos comprometidos do Axios foram modificados para incluir uma dependência em [email protected], um pacote publicado pouco antes do incidente e posteriormente identificado como malicioso.
Relacionado: Extensão de navegador Trust Wallet ficou offline devido a 'bug' da Chrome Store, diz CEO
A empresa disse que a dependência foi configurada para ser executada automaticamente durante a instalação através de um script pós-instalação, permitindo aos atacantes executar código em sistemas alvo sem interação adicional do utilizador.
A Socket aconselhou os programadores a reverem os seus projetos e ficheiros de dependências para as versões afetadas do Axios e o pacote associado [email protected], e a removerem ou reverterem quaisquer versões comprometidas imediatamente.
Abdelfattah Ibrahim, engenheiro sénior de segurança ofensiva na Hacken, disse ao Cointelegraph que o comprometimento poderia ter implicações sérias para aplicações relacionadas com criptomoedas que dependem do Axios para operações de backend.
"São más notícias para dapps e aplicações que lidam com criptomoedas porque o Axios desempenha um papel fundamental nas chamadas API", disse ele, observando que os sistemas afetados podem incluir integrações de exchanges, verificações de saldo de carteira e transmissões de transações.
Ibrahim disse que o malware implementado no ataque funciona como um trojan de acesso remoto completo, permitindo aos atacantes interagir diretamente com sistemas comprometidos. Ele acrescentou que o incidente destaca uma fraqueza mais ampla na forma como os riscos da cadeia de fornecimento são tratados.
Incidentes anteriores de criptomoedas destacam riscos da cadeia de fornecimento
Incidentes anteriores de criptomoedas mostraram como violações da cadeia de fornecimento podem escalar desde informações roubadas de programadores até perdas de carteiras dos utilizadores.
Em 3 de janeiro, o investigador onchain ZachXBT relatou que "centenas" de carteiras em redes compatíveis com a Ethereum Virtual Machine foram drenadas num ataque amplo que extraiu pequenas quantias de cada vítima.
O investigador de cibersegurança Vladimir S. disse que o incidente estava potencialmente ligado a uma violação de dezembro que afetou a Trust Wallet, que resultou em aproximadamente 7 milhões de dólares em perdas em mais de 2.500 carteiras.
A Trust Wallet disse posteriormente que a violação pode ter tido origem num comprometimento da cadeia de fornecimento envolvendo pacotes npm usados no seu fluxo de trabalho de desenvolvimento.
Magazine: Ninguém sabe se a criptografia segura quântica funcionará
Fonte: https://cointelegraph.com/news/axios-npm-supply-chain-attack-malicious-dependency?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
