Slow Fog sinaliza lançamentos maliciosos de axios que atraem malware cripto-js simples, expondo os desenvolvedores de criptomoedas a RATs de plataforma cruzada e roubo de credenciais via npm.
A empresa de segurança Blockchain Slow Fog emitiu um lembrete de segurança urgente depois que os lançamentos recém-publicados (protegido por e-mail) e (protegido por e-mail) introduziram dependências maliciosas (protegido por e-mail) que transformaram um dos clientes HTTP mais amplamente usados do JavaScript em uma arma da cadeia de suprimentos contra desenvolvedores de criptomoedas. Na Axios, o npm registra mais de 80 milhões de downloads todas as semanas, e mesmo uma violação de curto prazo pode se espalhar para back-ends de carteiras, bots de negociação, exchanges e infraestrutura DeFi construída em Node.js. “Os usuários que realizaram instalações (protegidas por e-mail) via npm install -g podem estar em risco”, alerta Slow Fog no comunicado, e recomenda alternar imediatamente as credenciais e investigar minuciosamente os hosts em busca de sinais de comprometimento.
Este ataque utiliza um pacote de criptografia falso (protegido por e-mail). Este pacote é adicionado silenciosamente como uma nova dependência e é usado apenas para executar um script de pós-instalação ofuscado que descarta um Trojan de acesso remoto de plataforma cruzada direcionado a sistemas Windows, macOS e Linux.
A empresa de segurança StepSecurity explicou que “nenhuma versão maliciosa contém uma única linha de código malicioso dentro do próprio Axios” e, em vez disso, “ambas injetam uma dependência falsa (protegida por e-mail) cujo único objetivo é executar um script pós-instalação que implanta um Trojan de acesso remoto (RAT) de plataforma cruzada”. A equipe de pesquisa do Socket observa que um pacote malicioso plain-crypto-js foi publicado minutos antes do lançamento do axios comprometido, chamando-o de “ataque coordenado à cadeia de suprimentos” contra o ecossistema JavaScript.
De acordo com StepSecurity, o lançamento malicioso do axios foi enviado usando credenciais npm roubadas pertencentes ao mantenedor principal ‘jasonsaayman’, permitindo ao invasor contornar o fluxo normal de lançamento do projeto baseado no GitHub. “Este é um comprometimento ativo da cadeia de suprimentos em (e-mail protegido), com uma nova dependência em (e-mail protegido), um pacote que foi exposto há várias horas e identificado como malware ofuscado que executa comandos shell e apaga seus rastros”, escreveu o engenheiro de segurança Julian Harris no LinkedIn. Embora o npm já tenha removido a versão maliciosa e revertido a resolução do axios para 1.14.0, os ambientes que extraíram 1.14.1 ou 0.3.4 durante o período de ataque permanecerão em risco até que os segredos sejam alternados e os sistemas sejam reconstruídos.
A violação reflete incidentes anteriores do NPM que visavam diretamente usuários de criptomoedas, incluindo uma campanha de 2025 na qual 18 pacotes populares, como Choke e Debug, trocaram silenciosamente endereços de carteira para roubar fundos, com o CTO da Ledger, Charles Guilmet, alertando que “os pacotes afetados já foram baixados mais de 1 bilhão de vezes”. Os pesquisadores também documentaram que o malware npm rouba chaves das carteiras Ethereum, XRP e Solana, e a Slowmist estima que hacks e fraudes criptográficas, incluindo pacotes backdoor e ataques à cadeia de suprimentos assistidos por IA, causaram mais de US$ 2,3 bilhões em perdas somente no primeiro semestre de 2025. Por enquanto, o conselho do Slow Fog é direto. Faça downgrade do axios para 1.14.0, audite quaisquer dependências de rastreamento em (e-mail protegido) ou openclaw e presuma que as credenciais tocadas por esses ambientes estão comprometidas.
Em um artigo anterior do crypto.news sobre ataques à cadeia de suprimentos de JavaScript, Guillemet, do Ledger, alertou que o comprometimento de pacotes npm, que têm mais de 2 bilhões de downloads semanais, representa um risco sistêmico para dApps e carteiras construídas em Node.js. Em outro artigo, detalhamos como o Lazarus Group da Coreia do Norte incorporou pacotes npm maliciosos em ambientes de desenvolvedores backdoor para atingir usuários de carteiras Solana e Exodus. No terceiro artigo da crypto.news sobre malware de próxima geração, mostramos como um ataque backdoor à cadeia de suprimentos via npm e ferramentas de IA de baixo custo ajudou os criminosos a controlar remotamente mais de 4.200 máquinas de desenvolvedores, contribuindo para bilhões de dólares em perdas de criptomoedas.
