Интересно Axios подвергся атаке на цепочку поставок через скомпрометированный аккаунт npm.

[Admin]

Популярный HTTP-клиент Axios стал жертвой атаки на цепочку поставок. Злоумышленники опубликовали две новые версии пакета npm, которые содержали вредоносную зависимость. Версии 1.14.1 и 0.30.4 Axios внедряли поддельную зависимость plain-crypto-js версии 4.2.1. Атака была осуществлена через скомпрометированные учётные данные основного разработчика Axios, что позволило злоумышленникам обойти систему CI/CD проекта. Вредоносный код выполнял функцию кросс-платформенного трояна, который удалял себя после выполнения и заменял файлы для сокрытия следов. Пользователям рекомендуется удалить заражённые версии и обновить учётные данные.