Comprometimento do NPM via Backdoor no Axios: Impacto nos Agentes de Codificação de IA

Incidente de Segurança no NPM: Comprometimento do Pacote Axios

Uma violação de segurança significativa ocorreu em 31 de março de 2026, quando o npm foi temporariamente comprometido. Um ator de ameaças ligado à Coreia do Norte roubou credenciais de um mantenedor do Axios e publicou duas versões maliciosas do pacote.

Detalhes do Ataque

• Versões comprometidas: Axios 1.14.1 e 0.30.4
• Janela de ataque: 3 horas
• Versões seguras: 1.14.0 e 0.30.3
• Vetor de ataque: O atacante publicou versões adulteradas que injetaram uma dependência maliciosa
• Comportamento do malware: A dependência executou um hook postinstall que baixou um RAT (trojan de acesso remoto) específico da plataforma
• Capacidades do RAT: Estabeleceu beacons C2, coletou credenciais e se auto-apagou após a instalação

Impacto e Escopo

O Axios recebe 400 milhões de downloads mensais com 174.000 dependentes diretos, criando um raio de explosão massivo. O ataque foi particularmente devastador para agentes de codificação de IA, incluindo Claude Code, Cursor e Copilot. Essas ferramentas executam npm install autonomamente sem revisão humana, e o malware se desvinculou do processo antes que o comando retornasse — tornando-o completamente invisível para o monitoramento de saída.

Milhares de máquinas de desenvolvedores foram comprometidas em horas antes que os pacotes fossem removidos do npm. Se você instalou algum pacote via npm durante a janela de ataque, deve considerar toda a máquina comprometida.

Ações Imediatas

• Verifique se você instalou pacotes durante a janela de 3 horas em 31 de março de 2026
• Confirme se está usando as versões do Axios 1.14.0 ou 0.30.3 (não 1.14.1 ou 0.30.4)
• Presuma que máquinas que instalaram pacotes comprometidos estão totalmente comprometidas
• Revise o monitoramento de segurança para ambientes de agentes de codificação de IA que automatizam instalações npm