Avviso di Sicurezza da Slow Fog
Slow Fog segnala il rilascio di versioni malevole di Axios che incorporano il malware plain-crypto-js, esponendo i programmatori di criptovalute a RAT cross-platform e al furto di credenziali tramite npm.
Dettagli dell’Attacco
La società di sicurezza blockchain Slow Fog ha emesso un urgente avviso di sicurezza dopo che i nuovi rilasci @axios/axios@1.14.1 e @axios/axios@0.3.4 hanno incluso una dipendenza malevola, plain-crypto-js, trasformando uno dei client HTTP più utilizzati di JavaScript in un’arma di attacco alla supply chain contro i programmatori di criptovalute.
Axios conta oltre 80 milioni di download settimanali su npm, il che significa che anche un compromesso di breve durata può propagarsi attraverso i backend di wallet, bot di trading, exchange e infrastrutture DeFi costruite su Node.js.
Raccomandazioni di Sicurezza
Nel suo avviso, Slow Fog ha avvertito che “gli utenti che hanno installato @axios/axios tramite ‘npm install -g’ sono potenzialmente esposti”, raccomandando una rotazione immediata delle credenziali e un’indagine approfondita lato host per segni di compromesso.
Meccanismo dell’Attacco
L’attacco si basa su un pacchetto di crittografia falso, plain-crypto-js, che viene silenziosamente aggiunto come nuova dipendenza e utilizzato esclusivamente per eseguire uno script postinstall offuscato che rilascia un trojan di accesso remoto cross-platform mirato a sistemi Windows, macOS e Linux.
La società di sicurezza StepSecurity ha spiegato che “nessuna delle versioni malevole contiene una singola riga di codice malevolo all’interno di Axios stesso”, e che invece “entrambe iniettano una dipendenza falsa, plain-crypto-js, il cui unico scopo è eseguire uno script postinstall che distribuisce un trojan di accesso remoto cross-platform (RAT).”
Impatto e Conseguenze
Il team di ricerca di Socket ha notato che il pacchetto malevolo plain-crypto-js è stato pubblicato solo pochi minuti prima del rilascio compromesso di Axios, definendolo un “attacco coordinato alla supply chain” contro l’ecosistema JavaScript.
Secondo StepSecurity, i rilasci malevoli di Axios sono stati spinti utilizzando credenziali npm rubate appartenenti al manutentore principale “jasonsaayman”, consentendo agli attaccanti di bypassare il consueto flusso di rilascio basato su GitHub del progetto.
“È un compromesso della supply chain in tempo reale in @axios/axios, che ora dipende da plain-crypto-js—un pacchetto pubblicato ore prima e identificato come malware offuscato che esegue comandi shell e cancella le tracce,” ha scritto l’ingegnere della sicurezza Julian Harris su LinkedIn.
Azioni Correttive
npm ha ora rimosso le versioni malevole e ripristinato la risoluzione di Axios a 1.14.0, ma qualsiasi ambiente che ha scaricato 1.14.1 o 0.3.4 durante la finestra di attacco rimane a rischio fino a quando le credenziali non vengono ruotate e i sistemi ricostruiti.
Il compromesso riecheggia incidenti npm precedenti che hanno preso di mira direttamente gli utenti di criptovalute, inclusa una campagna del 2025 in cui 18 pacchetti popolari come chalk e debug hanno silenziosamente scambiato indirizzi di wallet per rubare fondi.
Conclusioni
Per ora, il consiglio di Slow Fog è chiaro: effettuare il downgrade di Axios a 1.14.0, auditare le dipendenze per qualsiasi traccia di plain-crypto-js o openclaw, e assumere che qualsiasi credenziale toccata da quegli ambienti sia compromessa.
In una precedente storia di crypto.news sugli attacchi alla supply chain di JavaScript, Guillemet di Ledger ha avvertito che pacchetti npm compromessi con oltre 2 miliardi di download settimanali rappresentano un rischio sistemico per dApps e wallet costruiti su Node.js.
