De acordo com Feross Aboukhadijeh, cofundador da empresa de segurança Socket Security, existe uma cadeia de abastecimento ativa no Axios, que é um dos pacotes com mais dependências no npm.
O NPM significa Node Package Manager e é, basicamente, o maior repositório de software do mundo, alojando mais de dois milhões de pacotes de código JavaScript open source. Pode argumentar-se que é o pilar do desenvolvimento Web3 moderno.
De acordo com Feross, o mais recente axios@1.14.1 está, neste momento, a puxar plain-crypto-just@4.2.1, que é um pacote que não existia antes de hoje, sugerindo que se trata de uma intrusão em tempo real.
Isto é malware de instalação de cadeia de abastecimento, de manual. A Axios tem 100M+ de downloads semanais. Qualquer npm install a puxar a versão mais recente está potencialmente comprometido neste momento. A análise do Socket AI confirma que isto é malware. Plain-crypto-js é um descarregador/loader ofuscado.”
O software malicioso consegue executar uma série de ações, incluindo apagar e renomear artefactos após a execução para destruir evidências forenses, preparar e copiar ficheiros de carga útil para as pastas temporárias da OS e dos diretórios Windows ProgramData, executar comandos de shell decodificados e mais.
🚨 CRÍTICO: Ataque ativo à cadeia de abastecimento ao axios — um dos pacotes com mais dependências no npm.
O mais recente axios@1.14.1 agora puxa plain-crypto-js@4.2.1, um pacote que não existia antes de hoje. Isto é uma intrusão em tempo real.
Isto é malware de instalação de cadeia de abastecimento, de manual. axios…
— Feross (@feross) 31 de março de 2026
O especialista recomenda que os programadores que utilizam axios fixem imediatamente as suas versões e auditem os seus ficheiros de bloqueio (lockfiles), abstendo-se de quaisquer atualizações por agora.
OFERTA ESPECIAL (Exclusiva)
Binance Free $600 (CryptoPotato Exclusive): Use esta ligação para registar uma nova conta e receber uma oferta de boas-vindas exclusiva de $600 na Binance (detalhes completos).
OFERTA LIMITADA para leitores da CryptoPotato na Bybit: Use esta ligação para registar e abrir uma posição GRATUITA de $500 em qualquer moeda!
Tags:
Roubos
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
