O JavaScript, um dos ecossistemas mais utilizados do desenvolvimento web entrou em alerta após um ataque de cadeia de suprimentos atingir a biblioteca Axios. O incidente foi identificado por pesquisadores de segurança e expõe milhões de usuários e sistemas ao risco de comprometimento.
O problema ocorreu após invasores assumirem o controle da conta de um dos principais mantenedores do projeto no NPM. A partir disso, versões contaminadas foram publicadas e distribuídas como atualizações legítimas para desenvolvedores em todo o mundo.
As versões axios 1.14.1 e 0.30.4 foram infectadas esta semana passaram a incorporar uma dependência maliciosa chamada “plain-crypto-js@4.2.1”. Esse pacote executa automaticamente um script após a instalação, iniciando o download de um trojan de acesso remoto.
