Axios, un cliente HTTP JavaScript ampliamente utilizado con más de 100 millones de descargas semanales a través de npm, fue comprometido por un ataque sofisticado de cadena de suministro. El atacante utilizó credenciales robadas del usuario jasonsaayman para publicar versiones maliciosas (1.14.1 y 0.30.4) que distribuyeron un Trojan remoto de acceso (RAT) en múltiples plataformas.
El compromiso fue particularmente ingenioso: introdujo una dependencia fantasma (phantom dependency) llamada plain-crypto-js@4.2.1 que ejecutó un hook postinstall para implantar malware persistente en sistemas macOS, Windows y Linux. El malware operó de manera furtiva antes de auto-eliminarse, borrando sus propios archivos con copias limpias para evitar detección forense.
Los escáneres de seguridad automatizados de npm detectaron la dependencia maliciosa en pocos minutos, demostrando la importancia de herramientas de monitoreo. La administración de npm eliminó rápidamente las versiones comprometidas, pero miles de desarrolladores pudieron haber sido impactados durante la ventana de exposición.