Axios, el client HTTP de JavaScript amb 300 milions de descàrregues setmanals, ha estat compromès avui.
Les versions 1.14.1 i 0.30.4 introduïen una dependència maliciosa ([email protected]) que instal·lava un codi maliciós via script postinstall.
L’atacant va comprometre el compte npm del mantenidor principal, va canviar l’adreça de correu i va publicar manualment, saltant-se el pipeline.
L’atac estava ben planificat, tres payloads per plataforma, dues branques compromeses en 39 minuts, i neteja antiforense post-execució.

Versions segures: 1.14.0 i 0.30.0. Si has instal·lat les afectades, assumeix compromís total i rota credencials.

Indicadors de compromís:

Paquets maliciosos

- [email protected], 0.30.4
- [email protected]
- @shadanai/openclaw (qualsevol versió)
- @qqbrowser/[email protected]

Xarxa

- Domini C2: sfrclak.com:8000
- Email de l’atacant: [email protected]

Sistema de fitxers

- Presència de node_modules/plain-crypto-js/ (fins i tot si sembla net per dins, la carpeta ja indica execució del dropper)

- Fitxers en directoris temporals del SO (/tmp, %PROGRAMDATA% en Windows)

Comportament

∙ Connexió sortint a sfrclak.com:8000 des d’un procés Node.js durant npm install
De moment no hi ha hash de fitxers publicats.

+ info:
- https://socket.dev/blog/axios-npm-package-compromised
- https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan
- https://snyk.io/blog/axios-npm-package-compromised-supply-chain-attack-delivers-cross-platform
- https://thehackernews.com/2026/03/axios-supply-chain-attack-pushes-cross.html​​​​​​​​​​​​​​​​