A organização de investigação de segurança Socket detectou a 31 de março que os pacotes principais do npm, incluindo o axios, foram alvo de um ataque ativo à cadeia de abastecimento. O atacante invadiu a conta npm do principal mantenedor do axios, jasonsaayman, publicou versões maliciosas e injetou pacotes de dependências maliciosas, para descarregar um trojan de acesso remoto multiplataforma (RAT), com alvos nos sistemas macOS, Windows e Linux.
Análise da cadeia de ataque: do comprometimento da conta ao processo completo de autodestruição do RAT
(Fonte: Socket)
Este incidente foi um ataque à cadeia de abastecimento meticulosamente planeado, com vários passos. O atacante começou por invadir a conta do mantenedor, alterando o e-mail para ifstap@proton.me e, de seguida, utilizou as credenciais de acesso do npm obtidas para publicar manualmente as versões maliciosas, contornando completamente o processo legítimo de publicação do axios através de GitHub Actions + OIDC Trusted Publisher. Ambas as versões maliciosas não tinham quaisquer submissões, etiquetas ou registos de publicações correspondentes no repositório do GitHub.
A preparação do atacante foi igualmente precisa: controlou outra conta (nrwise, nrwise@proton.me), que publicou primeiro, cerca de 18 horas antes, uma versão isca limpa plain-crypto-js@4.2.0 para criar histórico e, depois, a 30 de março às 23:59 UTC, publicou a versão maliciosa 4.2.1.
Após a execução do hook postinstall malicioso, o carregador do RAT (setup.js) liga-se ao servidor de comando e controlo sfrclak[.]com:8000 para descarregar cargas específicas da plataforma. Depois de concluído, autodestrói-se e substitui o package.json por um apontador/ficheiro stub limpo, fazendo com que, numa verificação posterior, não seja possível detetar quaisquer indícios de infeção na pasta node_modules.
Indicadores Técnicos de Ataque (IOC) em destaque
Versões do pacote malicioso:axios@1.14.1, axios@0.30.4, plain-crypto-js@4.2.1
Servidor C2:sfrclak[.]com / 142.11.206.73 / [.]com:8000
Indícios de infeção no macOS:/Library/Caches/com.apple.act.mond
Indícios de infeção no Windows:%PROGRAMDATA%\wt.exe, %TEMP%\6202033.vbs
Indícios de infeção no Linux:/tmp/ld.py
Conta do atacante:jasonsaayman (comprometida), nrwise (conta criada pelo atacante)
Guia de Resposta de Emergência: confirmar o impacto e passos de remediação
Como o carregador malicioso se autodestrói após a execução, não é possível confirmar a infeção através da verificação da pasta node_modules. O método correto é verificar diretamente se o lockfile (package-lock.json ou yarn.lock) contém registos da versão axios@1.14.1 ou axios@0.30.4.
Reversão para versão segura: utilizadores 1.x fazem downgrade para axios@1.14.0; utilizadores 0.x fazem downgrade para axios@0.30.3 e, em seguida, remove-se a pasta plain-crypto-js de node_modules e reinstalam-se as dependências.
Se forem detetados quaisquer indícios de infeção por RAT no sistema (com.apple.act.mond, wt.exe, ld.py), não tente limpar no local; deve-se reconstruir a partir de um estado previamente conhecido como normal e, imediatamente, fazer a rotação de todas as credenciais potencialmente expostas, incluindo tokens do npm, chaves de acesso da AWS, chaves privadas SSH, chaves de configuração de CI/CD e valores de ficheiros .env.
Para programadores de criptomoeda e Web3, o axios é uma biblioteca HTTP central para muitos frontends de protocolos DeFi, ferramentas de gestão de ativos criptográficos e serviços de consulta de dados on-chain. Um ambiente de desenvolvimento infetado pode levar à divulgação ao atacante de chaves privadas da carteira, frases mnemónicas ou chaves de API; recomenda-se que a revisão e a rotação de todas as credenciais sensíveis sejam uma prioridade.
Perguntas frequentes
Como confirmar se foram instaladas versões do axios afetadas?
Como o carregador malicioso se autodestrói após a execução, não é possível confirmar a infeção através da pasta node_modules. Deve-se verificar diretamente se o lockfile contém registos de axios@1.14.1 ou axios@0.30.4 e confirmar se existe a pasta plain-crypto-js dentro de node_modules. É possível executar npm list axios ou procurar diretamente no lockfile as strings de versão.
Que impacto específico teve esta campanha de ataque à cadeia de abastecimento para programadores de criptomoeda e Web3?
O axios é uma biblioteca HTTP comum em aplicações Web3 e na interface de protocolos DeFi. Um ambiente de desenvolvimento infetado pode fazer com que credenciais sensíveis, como chaves privadas, frases mnemónicas, chaves de API de exchanges ou configurações de CI/CD, fiquem expostas ao atacante; os programadores devem, por isso, priorizar a revisão e a rotação de todas as credenciais relacionadas com criptografia que possam ter sido expostas.
Como prevenir ataques futuros à cadeia de abastecimento do npm?
As principais medidas de prevenção incluem: em CI/CD, utilizar sempre npm ci --ignore-scripts para desativar os hooks de postinstall; fixar versões de pacotes de dependências críticas; rever regularmente os registos de alterações do lockfile; e implementar ferramentas como Socket e Aikido para monitorizar em tempo real software malicioso nas dependências.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
O Chrome faz automaticamente download do modelo Gemini Nano de IA com vários gigabytes no dia 9 de maio, suscitando preocupações de segurança na comunidade cripto
De acordo com a BlockBeats, a 9 de maio o Chrome descarregou automaticamente um ficheiro de modelo de IA multi-gigabyte (Gemini Nano) para os dispositivos dos utilizadores sem consentimento explícito para deteção local de fraudes, resumo de páginas web e funcionalidades de IA. Embora a Google tenha afirmado que a execução local de IA melhora a privacidade e a segurança, utilizadores de cripto levantaram preocupações com a falta de transparência e de autorização explícita. À medida que os navegad
GateNews3m atrás
Ataques com “Crypto Wrench” disparam em 2026, com $101M a perder-se nos primeiros quatro meses, segundo a CertiK reports
Segundo a CertiK, os ataques com “wrench” em criptomoedas — agressões físicas e extorsão dirigidas a detentores de criptomoedas — terão causado cerca de 101 milhões de dólares em perdas durante os primeiros quatro meses de 2026. A empresa verificou 34 incidentes a nível global, o que representa um aumento de 41% face ao mesmo período de 2025. Se a tendência se mantiver, as perdas poderão atingir vários centenas de milhões de dólares ao longo de todo o ano. A Europa responde por 82% dos ataques v
GateNews37m atrás
O Wasabi Protocol sofre uma perda de 5,7 milhões de dólares devido a uma configuração errada do Spring Boot Actuator em 9 de maio
O Wasabi Protocol divulgou hoje (9 de maio) um incidente de segurança em que os atacantes exploraram uma má configuração do Spring Boot Actuator na sua infraestrutura AWS para roubar chaves privadas que controlam contratos inteligentes EVM. A violação resultou no roubo de aproximadamente 4,8 milhões de dólares em fundos de utilizadores e de 900 mil dólares em reservas do protocolo, em cofres da Ethereum, Base, Blast e Berachain, num total de 5,7 milhões de dólares em perdas. As implementações na
GateNews3h atrás
Ataques com “Crypto Wrench” disparam 41% em 2026, $101M perdidas nos primeiros quatro meses à medida que os membros da família são cada vez mais visados
De acordo com a CertiK, os ataques com chaves de criptografia resultaram em perdas de aproximadamente 101 milhões de dólares nos primeiros quatro meses de 2026, com 34 incidentes verificados a nível mundial que representam um aumento de 41% face ao mesmo período em 2025. Se a tendência continuar, a empresa estima que sejam registados centenas de milhões de
GateNews6h atrás
Banco Central das Filipinas alerta contra a negociação com VASPs não autorizados a 9 de maio
De acordo com o BusinessWorld, o banco central filipino alertou o público a 9 de maio para não negociar com prestadores de serviços de ativos virtuais (VASPs) não autorizados, citando riscos de fraude, violações de segurança e falhas operacionais que poderiam resultar na perda de fundos. O banco central identificou riscos adicionais, incluindo ausência de recurso legal, inexistência de mecanismos de proteção do consumidor, fraca qualidade de serviço, publicidade enganosa, manuseamento inadequado
GateNews9h atrás
Lazarus oculta carregadores de malware em hooks do Git durante ataques direcionados a programadores em 9 de maio
De acordo com a investigação da OpenSourceMalware, o grupo de hackers norte-coreano Lazarus ocultou carregadores de segunda fase em scripts de Git Hooks pre-commit durante ataques direcionados a programadores em 9 de maio. O grupo utilizou esta técnica em campanhas incluindo “Infectious Interview”, em que se fazia passar por recrutadores de criptomoedas e DeFi para enganar os programadores a clonarem repositórios de código malicioso, com o objetivo final de roubar ativos cripto e credenciais.
GateNews9h atrás
