Die beliebte JavaScript-HTTP-Client-Bibliothek Axios wurde bei einem Supply-Chain-Angriff kompromittiert, was etwa 80 % der Cloud- und Code-Umgebungen betrifft. Der Angreifer nutzte den npm-Zugangstoken des Hauptverantwortlichen von Axios aus, um zwei bösartige Versionen zu veröffentlichen, axios@1.14.1 und axios@0.3.4, die einen plattformübergreifenden Remote-Access-Trojaner (RAT) enthielten, der auf macOS-, Windows- und Linux-Systeme abzielte. Diese bösartigen Pakete wurden innerhalb von drei Stunden aus dem npm-Registry entfernt. Die Sicherheitsfirma Wiz berichtet, dass Axios wöchentlich über 100 Millionen Mal heruntergeladen wird, was die weitreichenden Auswirkungen der Sicherheitsverletzung unterstreicht. Huntress, eine weitere Sicherheitsfirma, entdeckte die ersten Infektionen nur 89 Sekunden nach der Veröffentlichung der bösartigen Pakete und bestätigte mindestens 135 kompromittierte Systeme. Trotz der Implementierung moderner Sicherheitsmaßnahmen wie OIDC Trusted Publishing und SLSA Provenance durch Axios umging der Angreifer diese Schutzmechanismen, indem er einen traditionellen, langlebigen NPM_TOKEN ausnutzte, den npm standardmäßig verwendet, wenn sowohl OIDC als auch der Token vorhanden sind.