Популярная библиотека HTTP-клиента для JavaScript Axios была скомпрометирована в результате атаки на цепочку поставок, затронувшей примерно 80% облачных и кодовых сред. Злоумышленник использовал токен доступа npm главного сопровождающего Axios для публикации двух вредоносных версий — axios@1.14.1 и axios@0.3.4, которые содержали кроссплатформенный троян удалённого доступа (RAT), нацеленный на системы macOS, Windows и Linux. Эти вредоносные пакеты были удалены из реестра npm в течение трёх часов. Компания по безопасности Wiz сообщает, что Axios скачивается более 100 миллионов раз в неделю, что подчёркивает масштаб воздействия нарушения безопасности. Другая компания по безопасности, Huntress, обнаружила первые заражения всего через 89 секунд после публикации вредоносных пакетов, подтвердив как минимум 135 скомпрометированных систем. Несмотря на внедрение Axios современных мер безопасности, таких как доверенная публикация OIDC и происхождение SLSA, злоумышленник обошёл эти защиты, используя традиционный, долгоживущий NPM_TOKEN, который npm использует по умолчанию, когда присутствуют и OIDC, и токен.