A popular biblioteca cliente HTTP JavaScript Axios foi comprometida em um ataque à cadeia de suprimentos, impactando aproximadamente 80% dos ambientes de nuvem e código. O atacante explorou o token de acesso npm do mantenedor principal do Axios para publicar duas versões maliciosas, axios@1.14.1 e axios@0.3.4, que continham um trojan de acesso remoto multiplataforma (RAT) direcionado a sistemas macOS, Windows e Linux. Esses pacotes maliciosos foram removidos do registro npm em menos de três horas. A empresa de segurança Wiz relata que o Axios é baixado mais de 100 milhões de vezes por semana, destacando o impacto generalizado da violação. A Huntress, outra empresa de segurança, detectou as primeiras infecções apenas 89 segundos após a publicação dos pacotes maliciosos, confirmando pelo menos 135 sistemas comprometidos. Apesar da implementação pelo Axios de medidas modernas de segurança como publicação confiável OIDC e proveniência SLSA, o atacante contornou essas proteções explorando um NPM_TOKEN tradicional e de longa duração, que o npm utiliza por padrão quando tanto o OIDC quanto o token estão presentes.