Como o Ataque à Cadeia de Suprimentos do NPM Axios Acontece (E Como Proteger Seus Projetos de API)

TL;DR Em 31 de março de 2026, invasores comprometeram a conta npm do mantenedor principal do Axios, o cliente HTTP JavaScript mais popular com 83 milhões de downloads semanais. Eles publicaram versões maliciosas (1.14.1 e 0.30.4) contendo um RAT (Cavalo de Troia de Acesso Remoto) multiplataforma que rouba credenciais, chaves SSH e tokens de nuvem de máquinas de desenvolvedores. Faça downgrade para o Axios 1.14.0 imediatamente, rotacione todos os segredos e escaneie seu sistema em busca de indicadores de comprometimento. Experimente o Apidog hoje Introdução Axios processa mais requisições HTTP do que qualquer outra biblioteca JavaScript. Se você construiu um cliente de API, testou endpoints ou conectou um frontend a um backend nos últimos cinco anos, provavelmente o utilizou. Em 31 de março de 2026, às 00:21 UTC, um ator de ameaças publicou a versão 1.14.1 do Axios através de uma conta de mantenedor sequestrada. O pacote parecia idêntico ao lançamento legítimo, com apenas o package.json