axios sofre ataque na cadeia de abastecimento: duas novas versões introduzem dependências maliciosas, recomenda-se reverter imediatamente

De acordo com o monitoramento da 1M AI News, a equipa de investigação da empresa de cibersegurança da cadeia de abastecimento Socket divulgou hoje que a popular biblioteca de pedidos HTTP em JavaScript, axios, foi alvo de um ataque à cadeia de abastecimento. As duas novas versões lançadas (v1.14.1 e v0.30.4) incluem dependências maliciosas, e estas duas versões não aparecem no histórico de releases do GitHub oficial do axios, desviando-se do processo normal de lançamento do projeto.

As duas versões introduzem o pacote malicioso plain-crypto-js@4.2.1. Este pacote malicioso foi publicado a 30 de março às 23:59:12 UTC, e a deteção automatizada da Socket o sinalizou cerca de 6 minutos depois. A Socket indica que este momento coincide fortemente com o lançamento das novas versões do axios, o que sugere que as dependências maliciosas foram coordenadas para ser lançadas em conjunto com o axios. A conta npm associada ao pacote malicioso é jasonsaayman, e a Socket afirma que isto levanta preocupações sobre «publicação não autorizada ou invasão da conta».

A Socket recomenda que os programadores verifiquem imediatamente se as dependências do projeto e o ficheiro lockfile incluem axios@1.14.1, axios@0.30.4 ou plain-crypto-js@4.2.1; caso detetem algo, devem reverter imediatamente para uma versão conhecida como segura. O incidente continua em investigação.