Slow Fog Advarer om Ondsinnede Axios-utgivelser
Slow Fog flagger ondsinnede Axios-utgivelser som trekker inn plain-crypto-js malware, og eksponerer kryptoutviklere for plattformuavhengige RAT-er og stjålne legitimasjoner via npm. Blockchain-sikkerhetsfirmaet Slow Fog har utstedt en presserende sikkerhetspåminnelse etter nylig publiserte axios@0.21.1 og axios@0.21.0 utgivelser som trakk inn en ondsinnet avhengighet, plain-crypto-js, og gjorde en av JavaScripts mest brukte HTTP-klienter til et forsyningskjedevåpen mot kryptoutviklere.
Axios har mer enn 80 millioner ukentlige nedlastinger på npm, noe som betyr at selv et kortvarig kompromiss kan få ringvirkninger på lommebok-backender, handelsroboter, børser og DeFi-infrastruktur bygget på Node.js.
Advarsel fra Slow Fog
I sin rådgivning advarte Slow Fog om at «brukere som installerte axios@0.21.1 via npm install -g potensielt er eksponert,» og anbefalte umiddelbar rotasjon av legitimasjoner og grundig undersøkelse av vertssiden for tegn på kompromiss.
«Ingen av de ondsinnede versjonene inneholder en eneste linje med ondsinnet kode inne i Axios selv,» forklarte sikkerhetsfirmaet StepSecurity.
Angrepet er avhengig av en falsk kryptografipakke, plain-crypto-js, som stille legges til som en ny avhengighet og brukes utelukkende til å kjøre et obfuskerte postinstall-skript som slipper en plattformuavhengig fjernadgangstrojaner som retter seg mot Windows, macOS og Linux-systemer.
Koordinert Forsyningskjedeangrep
Socket sitt forskningsteam bemerket at den ondsinnede plain-crypto-js-pakken ble publisert bare minutter før den kompromitterte Axios-utgivelsen, og kalte det et «koordinert forsyningskjedeangrep» mot JavaScript-økosystemet.
Ifølge StepSecurity ble de ondsinnede Axios-utgivelsene presset ved hjelp av stjålne npm-legitimasjoner tilhørende hovedvedlikeholder jasonsaayman, noe som tillot angriperne å omgå prosjektets vanlige GitHub-baserte utgivelsesflyt.
«Det er et aktivt forsyningskjede-kompromiss i axios@0.21.1, som nylig avhenger av plain-crypto-js—en pakke publisert timer tidligere og identifisert som obfuskerte malware som utfører shell-kommandoer og sletter spor,» skrev sikkerhetsingeniør Julian Harris på LinkedIn.
Risiko og Anbefalinger
npm har nå fjernet de ondsinnede versjonene og tilbakeført Axios-oppløsningen til 1.14.0, men ethvert miljø som trakk 1.14.1 eller 0.3.4 under angrepsvinduet forblir i risiko inntil hemmeligheter er rotert og systemer er gjenoppbygd.
Kompromisset minner om tidligere npm-hendelser som direkte målrettet kryptobrukere, inkludert en kampanje i 2025 der 18 populære pakker som chalk og debug stille byttet lommebokadresser for å stjele midler.
Forskere har også dokumentert npm-malware som stjeler nøkler fra Ethereum, XRP og Solana-lommebøker, og SlowMist har estimert at kryptohack og svindel — inkludert bakdørspakker og AI-assisterte forsyningskjedeangrep — forårsaket mer enn 2,3 milliarder dollar i tap i første halvdel av 2025 alene.
For nå er Slow Fogs råd klart: nedgrader Axios til 1.14.0, revider avhengigheter for spor av plain-crypto-js eller openclaw, og anta at alle legitimasjoner berørt av disse miljøene er kompromittert.
I en tidligere crypto.news-historie om JavaScript-forsyningskjedeangrep, advarte Ledgers Guillemet om at kompromitterte npm-pakker med mer enn 2 milliarder ukentlige nedlastinger utgjorde en systemisk risiko for dApps og lommebøker bygget på Node.js.
En annen historie detaljert hvordan Nord-Koreas Lazarus-gruppe plantet ondsinnede npm-pakker for å bakdøre utviklermiljøer og målrette Solana- og Exodus-lommebrukere.
En tredje crypto.news-historie om neste generasjons malware viste hvordan bakdør-forsyningskjedeangrep via npm og lavkostnads AI-verktøy hjalp kriminelle med å fjernstyre over 4.200 utviklermaskiner og bidro til milliarder av dollar i kryptotap.
