O ataque à cadeia de suprimentos da Axios aumenta o risco para as carteiras de criptomoedas

Axios, uma das bibliotecas JavaScript mais populares, pode estar comprometida e envolvida em um ataque a carteiras de criptomoedas. Ataques a pacotes npm estão se tornando mais comuns, atingindo diretamente projetos, desenvolvedores e usuários finais. 

Um pacote Axios npm foi publicado na biblioteca oficial do JavaScript e removido poucas horas depois. Especialistas em segurança on-chain interceptaram o ataque, que permaneceu ativo por cerca de três horas. 

@npmjs @GHSecurityLab Há um ataque ativo na cadeia de suprimentos do axios@1.14.1 que está instalando um pacote malicioso publicado hoje – plain-crypto-js@4.2.1 – alguém assumiu o controle de uma conta de mantenedor do Axios.

— Maxwell (@mvxvvll) 31 de março de 2026

Os pacotes npm foram comprometidos através dasdentde @jasonsaayman, e os pesquisadores ainda procuram indícios de que a conta foi comprometida. Os pacotes afetados foramdentcomo axios@1.14.1 e axios@0.30.4.

Como Cryptopolitan Conforme relatado anteriormente, os ataques ao npm geralmente têm como alvo carteiras de criptomoedas e são especialmente arriscados para projetos descentralizados com grandes equipes de investidores.

O que aconteceu no ataque do Axios ao npm? 

A StepSecurity foi uma das primeiras a identificar dent problema. Duas versões maliciosas da biblioteca cliente HTTP Axios foram publicadas através das credenciais comprometidas dent um dos principais mantenedores do Axios, burlando o processo normal de publicação no GitHub.

Segundo a StepSecurity, este foi o ataque mais sofisticado contra um pacote npm amplamente utilizado e entre os 10 mais populares. A versão maliciosa do pacote injeta uma nova dependência, plain-crypto-js@4.2.1, que não é importada no código-fonte do axios. Essa dependência executa um script pós-instalação, ativo em todos os sistemas operacionais. 

Após usar o npm, o cliente é infectado por um trojan de acesso remoto que instala um servidor ativo e entrega os payloads. O malware também se autoexclui e substitui o arquivo .json suspeito por uma versão limpa para evitar a detecção.

Que tipos de projetos foram afetados?

Os pacotes npm estavam entre os mais populares, com até 100 milhões de downloads semanais. No entanto, até o momento, não há relatos de movimentação não autorizada de criptomoedas. Anteriormente, um ataque ao npm resultou em perdas de apenas US$ 1.000 em criptomoedas pouco conhecidas. 

A única maneira de limitar o uso de versões maliciosas do npm é tracas versões e não permitir atualizações automáticas, ou verificar novas versões em busca de possíveis uploads maliciosos. 

Novo ataque à cadeia de suprimentos, desta vez contra o npm axios, a biblioteca cliente HTTP mais popular, com 300 milhões de downloads semanais.

Ao analisar meu sistema, encontrei um uso importado de googleworkspace/cli de alguns dias atrás, quando eu estava experimentando o gmail/gcal cli. A versão instalada (felizmente)... https://t.co/9DOVWH5KK1

- Andrej Karpathy (@karpathy) 31 de março de 2026

Os pesquisadores também descobriram dois pacotes maliciosos adicionais que distribuem payloads da mesma maneira: @shadanai/openclaw e @qqbrowser/openclaw-qbot. O ataque ocorreu apenas uma semana após a injeção de código malicioso do LiteLLM. 

Não há relatos de projetos Web3 ou OpenClaw afetados, nem de roubo de dados criptográficos, durante o período do ataque. No entanto, foram emitidos alertas de que ataques ao npm podem se tornar comuns, seja por meio de credenciais roubadas dent meio de publicadores não autorizados. A ameaça surge após alertas anteriores sobre código malicioso que utiliza a plataforma de skills OpenClaw .

Os pacotes não se limitam a projetos Web3 ou bots e podem afetar quaisquer payloads vinculados a carteiras de criptomoedas. A perda de confiança nas instalações do npm e do pip para Python também pode corroer a confiança geral no ecossistema de bibliotecas, com apelos por um caminho de upload mais seguro. 

O uso de agentes de IA também pode levar ao download indiscriminado de pacotes, disseminando a ameaça. Os efeitos reais nas carteiras de criptomoedas podem não ser imediatos, mas ainda assim podem expor os dados da carteira. 

Se você está lendo isto, já está um passo à frente. Continue assim assinando nossa newsletter .