A Agência de Segurança Cibernética e Infraestrutura (CISA) lançou um alerta crítico sobre um comprometimento severo de cadeia de suprimentos de software. O ataque visa o Axios, um cliente HTTP massivamente popular para JavaScript que desenvolvedores em todo o mundo dependem para ambientes Node.js e navegador.
Ataques de cadeia de suprimentos tornaram-se uma prioridade máxima para equipes de segurança, pois comprometer um único pacote popular pode afetar instantaneamente milhares de organizações downstream. De acordo com o advisory de 20 de abril de 2026, atores de ameaça comprometeram com sucesso o ecossistema do gerenciador de pacotes Node (npm) do Axios em 31 de março de 2026.
Implantação de trojan de acesso remoto
Quando desenvolvedores instalam essas atualizações afetadas, a dependência baixa silenciosamente payloads de estágio múltiplo da infraestrutura dos atacantes, implantando finalmente um trojan de acesso remoto (RAT) na máquina da vítima. Uma vez instalado, esse trojan concede acesso de backdoor aos criminosos cibernéticos a ambientes de desenvolvimento sensíveis.
Isso permite que atores de ameaça roubem código-fonte, manipulem aplicativos, exfiltrem dados ou pivotem mais profundamente em redes corporativas internas. Pesquisadores de segurança da Microsoft e GitHub têm rastreado o incidente de perto, notando que o código malicioso visa especificamente as versões 1.14.1 e 0.30.4 do Axios.
Os atacantes usaram uma dependência injetada, plain-crypto-js@4.2.1, para executar esses downloads maliciosos. A CISA insta fortemente todas as organizações a revisar seus repositórios de código, máquinas de desenvolvedores e pipelines de CI/CD imediatamente.
Ações de segurança imediata
Se sua equipe executou npm install ou npm update com as versões comprometidas, você deve tomar as seguintes ações para garantir seu ambiente. Reverta seu ambiente de desenvolvimento para um estado seguro conhecido se qualquer dependência comprometida for descoberta. Faça downgrade de suas instalações do Axios para as versões seguras verificadas: axios@1.14.0 ou axios@0.30.3.
Localize e exclua manualmente o diretório node_modules/plain-crypto-js/ de todos os projetos ativos. Rotacione e revogue todas as credenciais expostas, incluindo chaves de nuvem, tokens npm, chaves SSH e segredos de CI/CD. Bloqueie todas as conexões de rede de saída para o domínio de comando e controle (C2) do atacante em Sfrclak[.]com.
Monitore endpoints para processos filhos inesperados e comportamento de rede anômalo, particularmente durante instalações npm de rotina.
Estratégias de prevenção a longo prazo
Para prevenir futuros comprometimentos de cadeia de suprimentos, a CISA e firmas de segurança independentes como Socket e StepSecurity recomendam apertar a higiene de segurança npm geral. As organizações devem estabelecer uma linha de base de comportamento de execução normal para todas as ferramentas que utilizam o Axios.
Desenvolvedores e equipes de segurança devem implementar as seguintes medidas proativas. Exigir autenticação multifator (MFA) resistente a phishing em todas as contas de desenvolvedor e plataformas de implantação críticas. Modificar o arquivo de configuração .npmrc para incluir ignore-scripts=true, o que impede scripts potencialmente maliciosos de serem executados automaticamente quando um pacote é instalado.
Adicionar min-release-age=7 ao arquivo .npmrc para garantir que apenas pacotes que foram publicamente avaliados por pelo menos sete dias sejam permitidos para instalação. Configurar alertas automatizados para detectar quando dependências se comportam de maneira incomum, como construir containers de repente, habilitar shells remotos ou executar comandos de sistema inesperados.
Monitoramento contínuo
As organizações são encorajadas a conduzir caça contínua a ameaças usando ferramentas de detecção e resposta de endpoint (EDR) para garantir que nenhum indicador de comprometimento permaneça ativo em suas redes. A segurança de cadeia de suprimentos deve ser integrada aos processos de desenvolvimento e implantação para mitigar riscos futuros.