La popular biblioteca cliente HTTP de JavaScript, Axios, fue comprometida en un ataque a la cadena de suministro, afectando aproximadamente al 80% de los entornos en la nube y de código. El atacante explotó el token de acceso npm del mantenedor principal de Axios para publicar dos versiones maliciosas, axios@1.14.1 y axios@0.3.4, que contenían un troyano de acceso remoto multiplataforma (RAT) dirigido a sistemas macOS, Windows y Linux. Estos paquetes maliciosos fueron eliminados del registro npm en un plazo de tres horas. La firma de seguridad Wiz informa que Axios se descarga más de 100 millones de veces semanalmente, lo que resalta el impacto generalizado de la brecha. Huntress, otra firma de seguridad, detectó las primeras infecciones apenas 89 segundos después de que se publicaran los paquetes maliciosos, confirmando al menos 135 sistemas comprometidos. A pesar de que Axios implementó medidas de seguridad modernas como la publicación confiable OIDC y la procedencia SLSA, el atacante eludió estas protecciones explotando un NPM_TOKEN tradicional y de larga duración, que npm utiliza por defecto cuando están presentes tanto OIDC como el token.