{"id":14295,"date":"2026-03-31T14:42:30","date_gmt":"2026-03-31T14:42:30","guid":{"rendered":"https:\/\/satoshibrother.com\/it\/slow-fog-avverte-i-programmatori-su-una-campagna-malware-che-colpisce-axios\/"},"modified":"2026-03-31T14:42:30","modified_gmt":"2026-03-31T14:42:30","slug":"slow-fog-avverte-i-programmatori-su-una-campagna-malware-che-colpisce-axios","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/it\/slow-fog-avverte-i-programmatori-su-una-campagna-malware-che-colpisce-axios\/","title":{"rendered":"Slow Fog avverte i programmatori su una campagna malware che colpisce Axios"},"content":{"rendered":"

Avviso di Sicurezza da Slow Fog<\/h2>\n

Slow Fog segnala il rilascio di versioni malevole di Axios<\/strong> che incorporano il malware plain-crypto-js<\/strong>, esponendo i programmatori di criptovalute a RAT cross-platform<\/strong> e al furto di credenziali tramite npm<\/strong>.<\/p>\n

Dettagli dell’Attacco<\/h2>\n

La societ\u00e0 di sicurezza blockchain Slow Fog ha emesso un urgente avviso di sicurezza dopo che i nuovi rilasci @axios\/axios@1.14.1<\/code> e @axios\/axios@0.3.4<\/code> hanno incluso una dipendenza malevola, plain-crypto-js<\/code>, trasformando uno dei client HTTP pi\u00f9 utilizzati di JavaScript in un’arma di attacco alla supply chain contro i programmatori di criptovalute.<\/p>\n

Axios<\/strong> conta oltre 80 milioni di download settimanali<\/strong> su npm, il che significa che anche un compromesso di breve durata pu\u00f2 propagarsi attraverso i backend di wallet, bot di trading, exchange e infrastrutture DeFi costruite su Node.js.<\/p>\n

Raccomandazioni di Sicurezza<\/h2>\n

Nel suo avviso, Slow Fog ha avvertito che “gli utenti che hanno installato @axios\/axios tramite ‘npm install -g’ sono potenzialmente esposti”<\/em>, raccomandando una rotazione immediata delle credenziali e un’indagine approfondita lato host per segni di compromesso.<\/p>\n

Meccanismo dell’Attacco<\/h2>\n

L’attacco si basa su un pacchetto di crittografia falso, plain-crypto-js<\/code>, che viene silenziosamente aggiunto come nuova dipendenza e utilizzato esclusivamente per eseguire uno script postinstall offuscato che rilascia un trojan di accesso remoto cross-platform<\/strong> mirato a sistemi Windows, macOS e Linux.<\/p>\n

\n

La societ\u00e0 di sicurezza StepSecurity ha spiegato che “nessuna delle versioni malevole contiene una singola riga di codice malevolo all’interno di Axios stesso”<\/em>, e che invece “entrambe iniettano una dipendenza falsa, plain-crypto-js, il cui unico scopo \u00e8 eseguire uno script postinstall che distribuisce un trojan di accesso remoto cross-platform (RAT).”<\/em><\/p>\n<\/blockquote>\n

Impatto e Conseguenze<\/h2>\n

Il team di ricerca di Socket ha notato che il pacchetto malevolo plain-crypto-js<\/strong> \u00e8 stato pubblicato solo pochi minuti prima del rilascio compromesso di Axios, definendolo un “attacco coordinato alla supply chain”<\/strong> contro l’ecosistema JavaScript.<\/p>\n

Secondo StepSecurity, i rilasci malevoli di Axios sono stati spinti utilizzando credenziali npm rubate appartenenti al manutentore principale “jasonsaayman”<\/strong>, consentendo agli attaccanti di bypassare il consueto flusso di rilascio basato su GitHub del progetto.<\/p>\n

\n

“\u00c8 un compromesso della supply chain in tempo reale in @axios\/axios, che ora dipende da plain-crypto-js\u2014un pacchetto pubblicato ore prima e identificato come malware offuscato che esegue comandi shell e cancella le tracce,”<\/em> ha scritto l’ingegnere della sicurezza Julian Harris su LinkedIn.<\/p>\n<\/blockquote>\n

Azioni Correttive<\/h2>\n

npm ha ora rimosso le versioni malevole e ripristinato la risoluzione di Axios a 1.14.0<\/code>, ma qualsiasi ambiente che ha scaricato 1.14.1<\/code> o 0.3.4<\/code> durante la finestra di attacco rimane a rischio fino a quando le credenziali non vengono ruotate e i sistemi ricostruiti.<\/p>\n

Il compromesso riecheggia incidenti npm precedenti che hanno preso di mira direttamente gli utenti di criptovalute, inclusa una campagna del 2025 in cui 18 pacchetti popolari come chalk<\/strong> e debug<\/strong> hanno silenziosamente scambiato indirizzi di wallet per rubare fondi.<\/p>\n

Conclusioni<\/h2>\n

Per ora, il consiglio di Slow Fog \u00e8 chiaro: effettuare il downgrade di Axios a 1.14.0<\/code>, auditare le dipendenze per qualsiasi traccia di plain-crypto-js<\/code> o openclaw<\/code>, e assumere che qualsiasi credenziale toccata da quegli ambienti sia compromessa.<\/p>\n

In una precedente storia di crypto.news sugli attacchi alla supply chain di JavaScript, Guillemet di Ledger ha avvertito che pacchetti npm compromessi con oltre 2 miliardi di download settimanali<\/strong> rappresentano un rischio sistemico per dApps e wallet costruiti su Node.js.<\/p>\n","protected":false},"excerpt":{"rendered":"

Avviso di Sicurezza da Slow Fog Slow Fog segnala il rilascio di versioni malevole di Axios che incorporano il malware plain-crypto-js, esponendo i programmatori di criptovalute a RAT cross-platform e al furto di credenziali tramite npm. Dettagli dell’Attacco La societ\u00e0 di sicurezza blockchain Slow Fog ha emesso un urgente avviso di sicurezza dopo che i nuovi rilasci @axios\/axios@1.14.1 e @axios\/axios@0.3.4 hanno incluso una dipendenza malevola, plain-crypto-js, trasformando uno dei client HTTP pi\u00f9 utilizzati di JavaScript in un’arma di attacco alla supply chain contro i programmatori di criptovalute. Axios conta oltre 80 milioni di download settimanali su npm, il che significa<\/p>\n","protected":false},"author":3,"featured_media":14294,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[8420,13,200,65,71,1089,72,8,2732,115],"class_list":["post-14295","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-charles-guillemet","tag-ethereum","tag-exodus","tag-hack","tag-lazarus","tag-ledger","tag-north-korea","tag-ripple","tag-slowmist","tag-solana"],"yoast_description":"Slow Fog avverte i programmatori riguardo a una campagna malware che colpisce Axios, esponendo i sistemi di criptovaluta a RAT e furto di credenziali tramite pacchetti npm.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/14295","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/comments?post=14295"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/14295\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media\/14294"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media?parent=14295"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/categories?post=14295"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/tags?post=14295"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}