CISA alerta para ataque à cadeia de abastecimento via Axios

A CISA emitiu um alerta crítico sobre um ataque à cadeia de abastecimento que comprometeu o popular pacote Axios, amplamente utilizado por programadores em ambientes Node.js e browsers.

De acordo com o aviso, os atacantes conseguiram infiltrar código malicioso no ecossistema npm a 31 de março de 2026, introduzindo uma dependência comprometida em versões específicas da biblioteca.

O ataque afeta as versões 1[.]14[.]1 e 0[.]30[.]4 do Axios, nas quais foi injetada uma dependência maliciosa, utilizada para descarregar cargas maliciosas adicionais. Quando instaladas, estas versões permitem a execução silenciosa de um trojan de acesso remoto (RAT), permitindo que os atacantes assumam o controlo sobre os sistemas afetados. Na prática, isto pode permitir o roubo de código-fonte, exfiltração de dados, manipulação de aplicações ou mesmo o acesso a redes internas das organizações.

O incidente está a ser acompanhado por investigadores da Microsoft e do GitHub, que identificaram o comportamento malicioso e alertaram para o risco alargado associado a este tipo de ataques.

A CISA recomenda que as organizações atuem de imediato, verificando repositórios de código, máquinas de desenvolvimento e pipelines de CI/CD para identificar possíveis compromissos.

Entre as medidas urgentes estão o downgrade para versões seguras ([email protected] ou 0.30.3), a remoção manual da dependência maliciosa e a rotação de credenciais expostas, incluindo chaves cloud, tokens e acessos SSH.

A agência aconselha ainda o bloqueio de comunicações com domínios associados ao ataque e a monitorização de comportamentos anómalos nos sistemas.

Para prevenir incidentes semelhantes, as recomendações passam por reforçar práticas de segurança no npm, como a utilização de autenticação multifator, a limitação da execução automática de scripts e a validação prévia de pacotes antes da sua instalação.