La populaire bibliothèque cliente HTTP JavaScript Axios a été compromise lors d'une attaque de la chaîne d'approvisionnement, affectant environ 80 % des environnements cloud et de code. L'attaquant a exploité le jeton d'accès npm du mainteneur principal d'Axios pour publier deux versions malveillantes, axios@1.14.1 et axios@0.3.4, qui contenaient un cheval de Troie d'accès à distance multiplateforme (RAT) ciblant les systèmes macOS, Windows et Linux. Ces paquets malveillants ont été retirés du registre npm en moins de trois heures. La société de sécurité Wiz rapporte qu'Axios est téléchargé plus de 100 millions de fois par semaine, soulignant l'ampleur de l'impact de la faille. Huntress, une autre société de sécurité, a détecté les premières infections seulement 89 secondes après la publication des paquets malveillants, confirmant au moins 135 systèmes compromis. Malgré la mise en œuvre par Axios de mesures de sécurité modernes telles que la publication de confiance OIDC et la provenance SLSA, l'attaquant a contourné ces protections en exploitant un NPM_TOKEN traditionnel et de longue durée, que npm utilise par défaut lorsque OIDC et le jeton sont tous deux présents.