Popüler JavaScript HTTP istemci kütüphanesi Axios, tedarik zinciri saldırısına uğradı ve bu durum bulut ve kod ortamlarının yaklaşık %80'ini etkiledi. Saldırgan, Axios'un baş bakım sorumlusunun npm erişim token'ını kullanarak macOS, Windows ve Linux sistemlerini hedef alan çapraz platform uzaktan erişim truva atı (RAT) içeren iki kötü amaçlı sürüm, axios@1.14.1 ve axios@0.3.4, yayınladı. Bu kötü amaçlı paketler npm kayıt defterinden üç saat içinde kaldırıldı. Güvenlik firması Wiz, Axios'un haftalık 100 milyondan fazla indirildiğini bildirerek ihlalin yaygın etkisini vurguladı. Başka bir güvenlik firması Huntress, kötü amaçlı paketler yayınlandıktan sadece 89 saniye sonra ilk enfeksiyonları tespit etti ve en az 135 sistemin etkilendiğini doğruladı. Axios, OIDC güvenilir yayıncılık ve SLSA kökeni gibi modern güvenlik önlemlerini uygulamasına rağmen, saldırgan bu korumaları geleneksel, uzun ömürlü bir NPM_TOKEN kullanarak atlattı; npm, hem OIDC hem de token mevcut olduğunda varsayılan olarak bu token'ı kullanıyor.