인기 있는 자바스크립트 HTTP 클라이언트 라이브러리인 Axios가 공급망 공격에 의해 침해되어 약 80%의 클라우드 및 코드 환경에 영향을 미쳤습니다. 공격자는 Axios의 주요 유지관리자의 npm 액세스 토큰을 악용하여 macOS, Windows, Linux 시스템을 대상으로 하는 크로스 플랫폼 원격 액세스 트로이목마(RAT)를 포함한 악성 버전 두 개, axios@1.14.1과 axios@0.3.4를 배포했습니다. 이 악성 패키지들은 3시간 이내에 npm 레지스트리에서 제거되었습니다. 보안 업체 Wiz는 Axios가 주당 1억 회 이상 다운로드된다고 보고하며, 이번 침해의 광범위한 영향을 강조했습니다. 또 다른 보안 업체인 Huntress는 악성 패키지가 배포된 지 단 89초 만에 첫 감염을 탐지했으며, 최소 135대의 시스템이 침해된 것을 확인했습니다. Axios가 OIDC 신뢰 출판 및 SLSA 출처 증명과 같은 최신 보안 조치를 도입했음에도 불구하고, 공격자는 전통적이고 장기 유효한 NPM_TOKEN을 악용하여 이러한 보호 장치를 우회했는데, npm은 OIDC와 토큰이 모두 존재할 때 기본적으로 이 토큰을 사용합니다.