TechFlow đưa tin, ngày 02 tháng 04, theo báo cáo của VentureBeat, tin tặc đã đánh cắp mã thông báo truy cập npm của người phụ trách chính thư viện client HTTP phổ biến nhất cho JavaScript — Axios — và lợi dụng mã thông báo này để phát hành hai phiên bản độc hại (axios@1.14.1 và axios@0.30.4) chứa phần mềm gián điệp từ xa đa nền tảng (RAT), nhắm vào các hệ thống macOS, Windows và Linux. Các gói độc hại tồn tại trên kho lưu trữ npm khoảng 3 giờ trước khi bị gỡ bỏ.
Theo dữ liệu từ công ty an ninh Wiz, Axios được tải xuống hơn 100 triệu lần mỗi tuần và hiện diện trong khoảng 80% môi trường điện toán đám mây và môi trường mã nguồn. Công ty an ninh Huntress đã phát hiện những ca nhiễm đầu tiên chỉ 89 giây sau khi các gói độc hại được đăng tải, đồng thời xác nhận ít nhất 135 hệ thống đã bị xâm nhập trong khoảng thời gian lỗ hổng tồn tại.
Đáng chú ý, dự án Axios trước đây đã triển khai các biện pháp bảo mật hiện đại như cơ chế xuất bản đáng tin cậy dựa trên OIDC và chứng minh nguồn gốc SLSA, nhưng tin tặc đã hoàn toàn vượt qua các lớp phòng thủ này. Kết quả điều tra cho thấy, mặc dù dự án đã cấu hình OIDC, song vẫn giữ lại mã thông báo npm truyền thống có hiệu lực dài hạn (NPM_TOKEN); do npm ưu tiên sử dụng mã thông báo truyền thống khi cả hai loại cùng tồn tại, nên tin tặc không cần phải vượt qua lớp bảo vệ OIDC để thực hiện việc đăng tải.
