Notícias

Ataque à cadeia de suprimentos da Axios abala a confiança no npm

por Pieter Arntz | 31 de março, 2026
O logotipo do cliente HTTP Axios, que consiste apenas na palavra "AXIOS" escrita em roxo

Pesquisadores descobriram que versões comprometidas do Axios instalavam um trojan de acesso remoto.

O Axios é um cliente HTTP baseado em promessas para o Node.js, basicamente uma ferramenta auxiliar que os desenvolvedores utilizam nos bastidores para permitir que os aplicativos se comuniquem com a internet. Por exemplo, o Axios torna solicitações como “buscar minhas mensagens do servidor” ou “enviar este formulário para o site” mais fáceis e confiáveis para os programadores, além de poupá-los de ter que escrever eles mesmos uma grande quantidade de código de rede de baixo nível.

Como funciona tanto no navegador quanto em servidores (Node.js), muitos projetos modernos baseados em JavaScript o incluem como um componente padrão. Mesmo que você nunca instale o Axios por conta própria, é possível que você o encontre indiretamente ao:

  • Use aplicativos web desenvolvidos com frameworks como React, Vue ou Angular.
  • Use aplicativos móveis ou para desktop desenvolvidos com tecnologias web, como Electron, React Native e outras.
  • Conheça ferramentas menores de Software como Serviço (SaaS), painéis de administração ou serviços auto-hospedados criados por desenvolvedores que escolheram o Axios.

Você poderia comparar isso com o encanamento da sua casa. Normalmente, você nem percebe os canos, mas são eles que levam a água até onde você abre a torneira. E você não precisa saber onde eles estão até que ocorra um vazamento.

O que aconteceu?

Usando credenciais comprometidas de um dos principais mantenedores do Axios, um invasor publicou pacotes maliciosos no npm: axios@1.14.1 e axios@0.30.4. As versões maliciosas inserem uma nova dependência, plain-crypto-js@4.2.1, que nunca é importado em nenhuma parte do código-fonte do Axios. 

Juntos, os dois pacotes afetados somam até 100 milhões de downloads semanais no npm, o que significa que seu impacto é enorme em aplicativos web, serviços e pipelines.

É importante observar que a versão do Axios afetada não aparece nas tags oficiais do projeto no GitHub. Isso significa que as pessoas e os projetos afetados são desenvolvedores e ambientes que executaram o comando `npm install`, o qual resolveu para:

  • axios@1.14.1 ou axios@0.30.4ou
  • a dependência plain-crypto-js@4.2.1.

Qualquer fluxo de trabalho que tenha instalado uma dessas versões com scripts habilitados pode ter exposto todos os segredos injetados (chaves de nuvem, chaves de implantação de repositório, tokens do npm etc.) a um invasor interativo, pois o script pós-instalação (node setup.js) executado automaticamente durante a instalação do npm baixou um dropper ofuscado que recupera uma carga útil RAT específica para a plataforma (macOS, Windows ou Linux).

Se você é um desenvolvedor que utiliza o Axios, considere qualquer máquina que tenha instalado as versões comprometidas como potencialmente totalmente comprometida e atualize suas chaves secretas. O invasor pode ter obtido acesso ao repositório, chaves de assinatura, chaves de API ou outros segredos que possam ser usados para inserir backdoors em versões futuras ou atacar seu backend e seus usuários.

Os usuários de aplicativos desenvolvidos com o Axios não têm motivos diretos para se preocupar. Se você estiver apenas carregando seu aplicativo em um navegador, não estará executando diretamente esse RAT por meio do Axios. A via de infecção ocorre na etapa de instalação/compilação, e não durante a execução do aplicativo.

Indicadores de Compromisso (IOCs)

Como os pesquisadores apontaram, o dropper de malware limpa os rastros que deixa:

“Qualquer verificação realizada após a infecção no arquivo node_modules/plain-crypto-js/package.json mostrará um manifesto totalmente limpo. Não há nenhum script pós-instalação, nenhum arquivo setup.js e nenhuma indicação de que algo malicioso tenha sido instalado. A execução do comando npm audit ou a análise manual do diretório do pacote instalado não revelará o comprometimento.”

O que você pode procurar, então, são estes IOCs:

Domínio: sfrclak[.]com

Endereço IP: 142.11.206.73

(ambos bloqueados pelos Malwarebytes )

Arquivos:

  • macOS: /Library/Caches/com.apple.act.mond
  • Linux: /tmp/ld.py 
  • Windows: %PROGRAMDATA%\wt e %TEMP%\6202033.vbs/.ps1, que só existem por um breve período durante a execução

Pacotes npm maliciosos:

Soma de verificação SHA-256 do axios@1.14.1: 2553649f2322049666871cea80a5d0d6adc700ca

Suma de verificação SHA-256 do axios@0.30.4: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71

Soma de verificação SHA-256 do plain-crypto-js@4.2.1: 07d889e2dadce6f3910dcbc253317d28ca61c766

Não nos limitamos a informar sobre as ameaças, nós as removemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

Notícias
Proteção ClickFix mac

Novo recurso de segurança do macOS alertará os usuários sobre possíveis ataques do ClickFix

Março 30, 2026

A Apple introduziu uma camada adicional de proteção contra ataques ClickFix, disponível apenas para o macOS Tahoe 26.4 e versões posteriores

Notícias
semana em segurança

Uma semana no setor de segurança (de 23 a 29 de março)

Março 30, 2026

Uma lista dos assuntos que abordamos na semana de 23 a 29 de março de 2026

Celular
telefone na nuvem com uma máscara

Criminosos estão alugando telefones virtuais para contornar a segurança bancária

Março 27, 2026

Não é um celular de verdade, mas é bom o suficiente para enganar o seu banco. Pesquisadores alertam que criminosos estão usando dispositivos virtuais para contornar as verificações antifraude.

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes