Axios, una delle librerie JavaScript più popolari, potrebbe essere stata compromessa e coinvolta in un attacco ai portafogli di criptovalute. L'attacco ai pacchetti npm sta diventando sempre più comune, colpendo direttamente progetti, sviluppatori e utenti finali.
Un pacchetto Axios npm è stato pubblicato nella libreria JavaScript ufficiale e rimosso poche ore dopo. Gli esperti di sicurezza on-chain hanno intercettato l'attacco, che è rimasto attivo per circa tre ore.
@npmjs @GHSecurityLab è in corso un attacco alla catena di fornitura su [email protected] che include un pacchetto dannoso pubblicato oggi – [email protected] – qualcuno ha preso il controllo di un account di manutenzione per Axios
— Maxwell (@mvxvvll) 31 marzo 2026
I pacchetti npm sono stati compromessi tramite le credenziali di @jasonsaayman, poiché i ricercatori erano ancora alla ricerca di prove di una violazione dell'account. I pacchetti interessati sono stati identificati come [email protected] e [email protected].
Come già riportato da Cryptopolitan , gli attacchi a npm prendono spesso di mira i portafogli di criptovalute e sono particolarmente rischiosi per i progetti decentralizzati con grandi quantità di criptovalute detenute dai team.
Cosa è successo durante l'attacco ad Axios npm?
StepSecurity è stata tra le prime a identificare il problema. Due versioni dannose della libreria client HTTP di Axios sono state pubblicate utilizzando le credenziali compromesse di un importante manutentore di Axios, aggirando il normale processo di pubblicazione su GitHub.
Secondo StepSecurity, si è trattato dell'attacco più sofisticato mai sferrato contro un pacchetto npm tra i più utilizzati e presenti nella top 10. La versione dannosa del pacchetto inietta una nuova dipendenza, [email protected], che non è importata nel codice sorgente di axios. Questa dipendenza esegue uno script post-installazione, attivo su tutti i sistemi operativi.
Dopo aver utilizzato npm, il client viene infettato da un dropper trojan ad accesso remoto, che dispone di un server attivo e distribuisce i payload. Il malware si autoelimina e sostituisce il file .json sospetto con una versione pulita per eludere il rilevamento.
Quali tipologie di progetti sono state interessate?
I pacchetti npm sono stati tra i più popolari, con fino a 100 milioni di download settimanali. Tuttavia, al momento non ci sono segnalazioni di movimenti illeciti di criptovalute. In passato, un attacco a npm ha causato perdite di criptovalute per un valore di soli 1.000 dollari, relative a token poco conosciuti.
L'unico modo per limitare i file npm dannosi è tenere traccia delle versioni e non consentire aggiornamenti automatici, oppure verificare le nuove versioni per individuare potenziali caricamenti dannosi.
Nuovo attacco alla catena di fornitura, questa volta ai danni di npm axios, la libreria client HTTP più popolare con 300 milioni di download settimanali.
Scansionando il mio sistema ho trovato un utilizzo importato da googleworkspace/cli di qualche giorno fa, quando stavo sperimentando con gmail/gcal cli. La versione installata (per fortuna)… https://t.co/9DOVWH5KK1
— Andrej Karpathy (@karpathy) 31 marzo 2026
I ricercatori hanno inoltre scoperto altri due pacchetti dannosi che distribuiscono payload nello stesso modo: @shadanai/openclaw e @qqbrowser/openclaw-qbot. L'attacco segue di appena una settimana l'iniezione di codice dannoso LiteLLM.
Non sono stati segnalati progetti Web3 o OpenClaw colpiti o furti di criptovalute durante l'attacco. Tuttavia, sono stati emessi avvisi secondo cui gli attacchi npm potrebbero diventare la norma, tramite credenziali rubate o editori non autorizzati. La minaccia fa seguito a precedenti avvisi riguardanti codice dannoso che utilizza la piattaforma di skill OpenClaw .
I pacchetti non si limitano ai progetti Web3 o ai bot e possono interessare qualsiasi payload collegato ai portafogli di criptovalute. La perdita di fiducia nelle installazioni tramite npm e pip per Python potrebbe inoltre erodere la fiducia generale nell'ecosistema delle librerie, con richieste di un percorso di caricamento più sicuro.
L'utilizzo di agenti basati sull'intelligenza artificiale potrebbe anche portare al download indiscriminato di pacchetti, diffondendo la minaccia. Gli effetti sui portafogli di criptovalute potrebbero non essere immediati, ma potrebbero comunque esporre i dati in essi contenuti.
Non limitarti a leggere le notizie sulle criptovalute. Cerca di capirle. Iscriviti alla nostra newsletter. È gratis .