Notícias

O ataque à cadeia de abastecimento da Axios abala a confiança no npm

por Pieter Arntz | Março 31, 2026
O logótipo do cliente HTTP Axios, que consiste apenas na palavra «AXIOS» escrita a roxo

Os investigadores descobriram que as versões comprometidas do Axios instalavam um trojan de acesso remoto.

O Axios é um cliente HTTP baseado em promessas para o Node.js, basicamente uma ferramenta auxiliar que os programadores utilizam nos bastidores para permitir que as aplicações comuniquem com a Internet. Por exemplo, o Axios torna pedidos como «obter as minhas mensagens do servidor» ou «enviar este formulário para o site» mais fáceis e fiáveis para os programadores, poupando-lhes o trabalho de terem de escrever eles próprios muito código de rede de baixo nível.

Uma vez que funciona tanto no navegador como em servidores (Node.js), muitos projetos modernos baseados em JavaScript incluem-no como um componente básico padrão. Mesmo que nunca instale o Axios por conta própria, poderá deparar-se com ele indiretamente quando:

  • Utilize aplicações web desenvolvidas com frameworks como React, Vue ou Angular.
  • Utilize aplicações móveis ou de computador desenvolvidas com tecnologias web como o Electron, o React Native e outras.
  • Visite ferramentas mais pequenas de Software como Serviço (SaaS), painéis de administração ou serviços auto-hospedados criados por programadores que escolheram o Axios.

Pode comparar isso com a canalização da sua casa. Normalmente, não se repara nos canos, mas são eles que levam a água até ao local onde abre a torneira. E não precisa de saber onde estão, a menos que haja uma fuga.

O que aconteceu?

Utilizando credenciais comprometidas de um dos principais mantenedores do Axios, um atacante publicou pacotes maliciosos no npm: axios@1.14.1 e axios@0.30.4. As versões maliciosas inserem uma nova dependência, plain-crypto-js@4.2.1, que nunca é importado em nenhuma parte do código-fonte do Axios. 

Em conjunto, os dois pacotes afetados atingem até 100 milhões de downloads semanais no npm, o que significa que têm um enorme impacto em aplicações web, serviços e pipelines.

É importante referir que a versão do Axios afetada não aparece nas etiquetas oficiais do projeto no GitHub. Isto significa que as pessoas e os projetos afetados são os programadores e os ambientes que executaram o comando «npm install» e que resultaram em:

  • axios@1.14.1 ou axios@0.30.4, ou
  • a dependência plain-crypto-js@4.2.1.

Qualquer fluxo de trabalho que tenha instalado uma dessas versões com os scripts ativados pode ter exposto todos os segredos inseridos (chaves de nuvem, chaves de implementação de repositórios, tokens do npm, etc.) a um atacante interativo, uma vez que o script pós-instalação (node setup.js) que é executado automaticamente durante a instalação do npm descarregou um dropper ofuscado que recupera uma carga útil RAT específica para a plataforma, seja macOS, Windows ou Linux.

Se for um programador a implementar o Axios, considere qualquer máquina que tenha instalado as versões comprometidas como potencialmente totalmente comprometida e atualize as chaves secretas. O atacante pode ter obtido acesso ao repositório, chaves de assinatura, chaves de API ou outros dados confidenciais que possam ser utilizados para introduzir backdoors em versões futuras ou para atacar o seu backend e os seus utilizadores.

Os utilizadores de aplicações criadas com o Axios não têm motivos diretos para se preocuparem. Se estiver apenas a carregar a sua aplicação num navegador, não está a executar diretamente este RAT através do Axios. A via de infeção ocorre na fase de instalação/compilação, e não durante a execução da aplicação.

Indicadores de compromisso (IOCs)

Como os investigadores salientaram, o dropper de malware limpa o que suja:

«Qualquer verificação realizada após a infeção no ficheiro node_modules/plain-crypto-js/package.json revelará um manifesto totalmente limpo. Não existe nenhum script pós-instalação, nenhum ficheiro setup.js e nenhuma indicação de que alguma vez tenha sido instalado algo malicioso. A execução do comando npm audit ou a análise manual do diretório do pacote instalado não revelará a infeção.»

O que pode procurar, então, são estes IOCs:

Domínio: sfrclak[.]com

Endereço IP: 142.11.206.73

(ambos bloqueados pelos Malwarebytes )

Ficheiros:

  • macOS: /Library/Caches/com.apple.act.mond
  • Linux: /tmp/ld.py 
  • Windows: %PROGRAMDATA%\wt e %TEMP%\6202033.vbs/.ps1, que só existem por um breve período durante a execução

Pacotes npm maliciosos:

Soma de verificação SHA-256 de axios@1.14.1: 2553649f2322049666871cea80a5d0d6adc700ca

Soma de verificação SHA-256 do axios@0.30.4: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71

Soma de verificação SHA-256 de plain-crypto-js@4.2.1: 07d889e2dadce6f3910dcbc253317d28ca61c766

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

Notícias
Proteção ClickFix mac

A nova funcionalidade de segurança do macOS alertará os utilizadores sobre possíveis ataques ClickFix

março 30, 2026

A Apple introduziu uma camada adicional de proteção contra ataques ClickFix, disponível apenas para o macOS Tahoe 26.4 e versões posteriores

Notícias
semana da segurança

Uma semana no mundo da segurança (março 23 – março 29)

março 30, 2026

Uma lista dos tópicos que abordámos na semana de 23 a 29 de 2026

Telemóvel
telefone na nuvem com uma máscara

Os criminosos estão a alugar telemóveis virtuais para contornar a segurança bancária

março 27, 2026

Não é um telemóvel verdadeiro, mas é suficientemente convincente para enganar o seu banco. Os investigadores alertam que os criminosos estão a utilizar dispositivos virtuais para contornar os controlos antifraude.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes