Axios 1.14.1 comprometido com malware, mira fluxos de trabalho de desenvolvimento assistido por IA

Ataque à cadeia de suprimentos atinge o pacote axios
Um ataque à cadeia de suprimentos comprometeu a versão 1.14.1 do axios, que silenciosamente incorpora [email protected] como uma dependência. Este pacote é um dropper de RAT (Cavalo de Troia de Acesso Remoto) ofuscado. O NPM removeu a versão maliciosa, mas desenvolvedores que a instalaram durante a janela de vulnerabilidade podem estar infectados.
Fluxos de trabalho de desenvolvimento assistido por IA em risco
O ataque visa especificamente desenvolvedores que usam assistentes de codificação com IA, como o Claude. A fonte observa que, com a codificação por IA, os desenvolvedores frequentemente permitem que a IA gerencie a instalação de pacotes sem verificar as diferenças no package.json ou auditar quais dependências estão sendo incorporadas. Os atacantes estão explorando essa confiança em fluxos de trabalho automatizados onde os desenvolvedores estruturam projetos e executam instalações sem verificação manual.
Passos imediatos de detecção e correção
Execute estes comandos para verificar infecção:
# Verifique seu arquivo de bloqueio
grep -r "plain-crypto-js" package-lock.json
grep -r "[email protected]" package-lock.json
Verifique artefatos de persistência
ls -la /library/caches/com.apple.act.mond # macOS
ls /tmp/ld* # Linux
Se você encontrar o pacote malicioso:
- Reverta imediatamente para [email protected]
- Gire todas as chaves e credenciais (credenciais da AWS, chaves de API, etc.)
- Audite todos os arquivos de bloqueio em seus projetos
Medidas preventivas
A fonte recomenda fixar versões e auditar manualmente quais dependências os assistentes de IA estão incorporando. Os desenvolvedores devem desacelerar nas instalações automatizadas e realmente ler quais pacotes estão sendo adicionados aos seus projetos.
📖 Leia a fonte completa: r/ClaudeAI
👀 See Also

Acesso Remoto Seguro com Tailscale para OpenClaw
Nenhum

O Recurso de Uso de Computador da Anthropic Dispara Bloqueio de Governança em Teste Real
A Anthropic implementou capacidades de uso de computador e, durante a implementação de controles de governança, um limite de risco acionou uma postura de BLOQUEIO que bloqueou todas as operações de mutação, incluindo o próprio trabalho de governança do operador.

Pare de confiar mais na IA do que em um humano — Aplique os mesmos controles de acesso
Uma discussão no Reddit argumenta que agentes de codificação de IA devem ser tratados como desenvolvedores juniores — sem acesso à produção, sem permissão de escrita direta, com aplicação de pipelines de CI/CD e permissões baseadas em funções.

OpenClaw Auditoria de Segurança Comandos de Prompt Relatórios de Vulnerabilidades em Linguagem Simples
Um usuário do Reddit compartilhou um prompt para a CLI do OpenClaw que executa uma auditoria de segurança profunda e exibe os resultados em inglês simples, especificando o que está exposto, pontuações de gravidade e correções exatas de configuração.