Em um golpe significativo para o ecossistema JavaScript, a biblioteca cliente HTTP Axios, amplamente utilizada, foi alvo de um ataque à cadeia de suprimentos entre 30 e 31 de março de 2026. Os atacantes sequestraram as credenciais do npm de um dos principais mantenedores e publicaram duas versões maliciosas do pacote que instalavam silenciosamente um trojan de acesso remoto (RAT) multiplataforma nas máquinas dos desenvolvedores. O Axios, com centenas de milhões de downloads semanais, é responsável pelas requisições de API em inúmeras aplicações web e Node.js. As versões comprometidas — axios@1.14.1 e axios@0.30.4 — introduziram uma dependência oculta chamada plain-crypto-js@4.2.1. Este pacote executava um script de pós-instalação que atuava como um sofisticado dropper de RAT, capaz de infectar sistemas Windows, macOS e Linux. Após se conectar a um servidor de comando e controle e entregar sua carga maliciosa, o malware se autoexcluía e substituía seu arquivo package.json por uma versão limpa, tornando a detecção forense extremamente difícil.
Pesquisadores de segurança da StepSecurity, Snyk e Socket.dev estiveram entre os primeiros a identificar e divulgar publicamente o ataque. As versões maliciosas foram removidas do npm em poucas horas, e a versão legítima mais recente (1.14.0) permanece intacta.
Quem foi afetado?
Qualquer desenvolvedor ou projeto que tenha executado comandos como `npm install`, `yarn install`, `pnpm install` ou similares enquanto as versões infectadas estavam ativas (um período de aproximadamente duas horas entre 30 e 31 de março) e que tenha usado intervalos de versão flexíveis como `^1.14.0` ou `^0.30.0` em seu arquivo `package.json` foi afetado. Como o ataque foi furtivo, muitas vítimas podem ainda não ter percebido que suas máquinas foram comprometidas. O que você deve fazer agora?
Verifique seu package.json e arquivos de bloqueio (package-lock.json, yarn.lock, pnpm-lock.yaml) em busca de qualquer referência às versões 1.14.1 ou 0.30.4 do Axios.
Exclua a pasta node_modules e o arquivo de bloqueio, depois reinstale usando uma versão segura fixada (por exemplo, "axios": "^1.14.0").
Analise seus sistemas em busca de atividades suspeitas, especialmente conexões de saída de processos Node.js.
Considere usar ferramentas como npm audit, Socket.dev ou Snyk para verificar as dependências.
A equipe do Axios ainda não emitiu um comunicado oficial além de atualizações internas de CI, mas a rápida resposta da comunidade de segurança de código aberto minimizou os danos. Este incidente destaca os riscos crescentes no ecossistema npm e a importância do controle rigoroso de versões, arquivos de bloqueio e ferramentas de segurança da cadeia de suprimentos. Recomenda-se que os desenvolvedores permaneçam vigilantes e monitorem os canais oficiais do Axios (GitHub e npm) para obter mais informações. Fontes: StepSecurity, The Hacker News, Snyk, Socket.dev e repositório GitHub do Axios.
