تم استهداف مكتبة Axios في هجوم على سلسلة التوريد، حيث استغل القراصنة رموز npm المسروقة لزرع حصان طروادة عن بعد، مما أثر على حوالي 80% من بيئات السحابة

رسالة من DeepTide TechFlow، في 02 أبريل، وفقًا لتقرير من VentureBeat، قام المهاجمون بسرقة رمز وصول npm الخاص بالمُحافِظ الرئيسي لمكتبة JavaScript الأكثر شيوعًا لعملاء HTTP، Axios، واستخدموا هذا الرمز لنشر نسختين خبيثتين تتضمنان أحصنة طروادة للوصول عن بُعد متعددة المنصات (RAT) (axios@1.14.1 و axios@0.30.4)، بهدف استهداف أنظمة macOS وWindows وLinux. بقيت الحزم الضارة على سجل npm لمدة نحو 3 ساعات ثم تم إزالتها.

وفقًا لبيانات شركة الأمان Wiz، تتجاوز عمليات تنزيل Axios أسبوعيًا 100 مليون مرة، وهي موجودة في حوالي 80% من بيئات السحابة والرمز البرمجي. وفي غضون 89 ثانية فقط بعد طرح الحزم الخبيثة على الإنترنت، اكتشفت شركة الأمان Huntress أولى حالات الإصابة، وخلال فترة التعرض، تأكدت من اختراق ما لا يقل عن 135 نظامًا.

ومن الجدير بالذكر أن مشروع Axios كان قد طبق مسبقًا تدابير أمان حديثة مثل آلية نشر موثوقة عبر OIDC وإثباتات تتبع SLSA، لكن المهاجمين تمكنوا من الالتفاف عليها بالكامل. ووجدت التحقيقات أن المشروع، رغم أنه كان يهيئ OIDC، احتفظ أيضًا بـ NPM_TOKEN التقليدي طويل المفعول، وعندما يتعايش الاثنان معًا، تمنح npm افتراضيًا الأولوية للرمز التقليدي، مما سمح للمهاجمين بإتمام عملية النشر دون الحاجة إلى اختراق OIDC.