No dia 30 de março de 2026, um hacker invadiu uma conta autorizada a publicar novas versões do Axios, um popular pacote de software utilizado por milhões de desenvolvedores. O ataque resultou na disponibilização de um código malicioso que ficou acessível por cerca de três horas antes de ser identificado e removido.
O pacote comprometido afetou sistemas operacionais como Windows, macOS e Linux, levando a uma preocupação significativa entre os usuários. O número de downloads do Axios é impressionante, com cerca de 400 milhões por mês, o que torna a situação ainda mais alarmante.
O ataque foi considerado um dos mais sofisticados já registrados contra um grande pacote NPM. Os hackers conseguiram invadir a conta de um dos principais desenvolvedores do projeto no GitHub, o que levantou questões sobre a segurança das cadeias de suprimentos de software.
O pacote malicioso incluía um cavalo de troia de acesso remoto, capaz de executar comandos e roubar dados. John Hammond, especialista em segurança, comentou: “O alcance desse comprometimento é significativo.” Até o momento, Hammond identificou ao menos 135 computadores comprometidos.
A equipe do Axios agiu rapidamente, retirando as versões contaminadas do software de seu site e do GitHub. A Socket, uma empresa de segurança, recomendou que os usuários do Axios adotem as versões 1.14.0 e 0.30.3, que são as últimas consideradas seguras.
“Felizmente, foi detectado cedo, o que provavelmente reduziu o impacto pretendido”, afirmou Rafe Pilling, ressaltando a importância de uma resposta rápida em situações de cibersegurança.
Esse tipo de ataque à cadeia de suprimentos tem se tornado mais comum, levantando preocupações sobre a segurança de softwares amplamente utilizados. A extensão dos danos e o objetivo do ataque ainda não estão claros, e detalhes permanecem não confirmados.
O autor e propósito do ataque ainda não foram divulgados, o que deixa muitos usuários em alerta. A situação destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger sistemas e dados sensíveis.
