Poucos dias depois do ataque ao LiteLLM, temos novo caso de ataque supply chain direccionado contra o Axios, um dos clientes HTTP/S mais populares, usado por milhões de projectos e com mais de 100 milhões de downloads semanais. O incidente afectou as versões 1.14.1 e 0.30.4, que incluíam uma dependência adicional que instalava malware.
O pacote malicioso, "plain-crypto-js@4.2.1", era utilizado para executar um script oculto que instala um RAT (remote access trojan) multiplataforma. Este malware visa sistemas macOS, Windows e Linux, ligando-se a um servidor de comando e controlo para descarregar conteúdos adicionais. Para evitar a detecção, elimina-se após a execução e esconde o seu rasto.
🚨 CRITICAL: Active supply chain attack on axios -- one of npm's most depended-on packages.
— Feross (@feross) March 31, 2026
The latest axios@1.14.1 now pulls in plain-crypto-js@4.2.1, a package that did not exist before today. This is a live compromise.
This is textbook supply chain installer malware. axios…
De resto, e tal como se temia, este caso só vem demonstrar que esta via de ataque está a ser cada vez mais explorada por atacantes, e que é apenas uma questão de tempo até que algo deste tipo possa ter consequências devastadoras - bastando que passe despercebida por alguns dias ou semanas e chegue a milhões de projectos.
Uma das sugestões é a de limitar o uso de bibliotecas assim que são lançadas, aplicando um filtro de espera de 7 dias:
$ cat ~/.npmrc
min-release-age=7
$ cat ~/.config/uv/uv.toml
exclude-newer = "7 days"
Pode não ser uma solução perfeita, mas limita o risco de se ser afectado por um projecto infectado "na hora".
Sem comentários:
Enviar um comentário (problemas a comentar?)