Security

Compromissione supply chain Axios npm: guida

2 min di lettura

Riepilogo

Microsoft ha avvisato che le versioni npm dannose di Axios 1.14.1 e 0.30.4 sono state usate in un attacco alla supply chain attribuito a Sapphire Sleet. Le organizzazioni che usano i pacchetti interessati dovrebbero ruotare subito i segreti, eseguire il downgrade a versioni sicure e verificare eventuali compromissioni su endpoint degli sviluppatori e sistemi CI/CD.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

Microsoft ha reso nota una grave compromissione della supply chain npm che interessa Axios, una delle librerie JavaScript HTTP più usate. Poiché Axios viene comunemente installato su workstation di sviluppo e pipeline CI/CD, questo incidente ha implicazioni estese per la sicurezza della supply chain software negli ambienti Windows, macOS e Linux.

Che cosa è successo

Due versioni dannose del pacchetto Axios sono state pubblicate il 31 marzo 2026:

Secondo Microsoft Threat Intelligence, queste release hanno aggiunto una dipendenza dannosa, [email protected], che eseguiva uno script post-installazione durante npm install o gli aggiornamenti del pacchetto. L’hook di installazione contattava un’infrastruttura controllata dagli attori della minaccia e scaricava un remote access trojan (RAT) di secondo stadio.

Microsoft attribuisce la campagna a Sapphire Sleet, un attore statale nordcoreano.

Principali dettagli tecnici

  • Il codice sorgente di Axios, secondo quanto riportato, è rimasto invariato.
  • Il comportamento dannoso è stato introdotto tramite una tecnica di inserimento di dipendenze.
  • Gli ambienti interessati includevano endpoint degli sviluppatori e sistemi CI/CD.
  • I payload erano adattati in base al sistema operativo:
    • Windows: RAT basato su PowerShell con persistenza tramite chiave di registro Run
    • macOS: binario nativo rilasciato in /Library/Caches
    • Linux/altro: payload successivi specifici per piattaforma
  • Il malware comunicava con infrastrutture dannose note collegate a Sapphire Sleet.

Perché è importante per i team IT e di sicurezza

Questo attacco evidenzia come pacchetti open-source affidabili possano essere trasformati in armi senza modifiche evidenti all’applicazione. Anche se le applicazioni sembrano funzionare normalmente, la compromissione può comunque verificarsi al momento dell’installazione, consentendo agli attaccanti di rubare segreti, stabilire persistenza e muoversi più in profondità negli ambienti aziendali.

Per gli amministratori, i rischi principali sono:

  • Credenziali e token degli sviluppatori compromessi
  • Segreti esposti nei sistemi di build
  • Esecuzione di malware sugli agenti CI/CD
  • Presenza persistente su dispositivi Windows gestiti

Azioni consigliate

Le organizzazioni che hanno installato le versioni interessate di Axios dovrebbero agire immediatamente:

  1. Eseguire il downgrade di Axios a versioni sicure:
    • 1.14.0
    • 0.30.3
  2. Ruotare segreti e credenziali che potrebbero essere stati esposti.
  3. Disabilitare gli aggiornamenti automatici per i pacchetti Axios finché gli ambienti non sono stati verificati come puliti.
  4. Ispezionare i sistemi di sviluppo e build per rilevare segni di compromissione, in particolare meccanismi di persistenza ed esecuzione sospetta di script.
  5. Usare le rilevazioni di Microsoft Defender e le indicazioni di hunting fornite nell’avviso di Microsoft per identificare componenti dannosi e host coinvolti.

Conclusione

La compromissione npm di Axios ricorda che la gestione dei pacchetti e le pipeline CI/CD sono ormai superfici di attacco primarie. I team di sicurezza dovrebbero trattare le installazioni interessate come potenziali compromissioni di endpoint e credenziali, non solo come un problema di pacchetto.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Threat Intelligence and Microsoft Defender Security Research Team
Axiosnpmsupply chain attackSapphire SleetMicrosoft Defender

Articoli correlati

Security

Sicurezza infrastrutture critiche: preparazione 2026

Microsoft afferma che il modello di minaccia per le infrastrutture critiche è passato da attacchi opportunistici ad accessi persistenti basati sull’identità, pensati per causare future interruzioni. Per i responsabili IT e della sicurezza, il messaggio è chiaro: ridurre l’esposizione, rafforzare l’identità e validare subito la preparazione operativa, mentre aumentano regolamentazioni e attività degli stati nazione.

Security

Sicurezza AI per CISO: guida pratica Microsoft

Microsoft consiglia ai CISO di proteggere i sistemi AI usando gli stessi controlli fondamentali già applicati a software, identità e accesso ai dati. La guida evidenzia il principio del privilegio minimo, le difese contro il prompt injection e l’uso della stessa AI per individuare problemi di autorizzazione prima che lo facciano utenti o attaccanti.

Security

Campagna malware WhatsApp con backdoor VBS e MSI

Gli esperti di Microsoft Defender hanno scoperto una campagna di fine febbraio 2026 che usa messaggi WhatsApp per distribuire file VBS dannosi, quindi installa pacchetti MSI non firmati per persistenza e accesso remoto. L’attacco combina social engineering, utility Windows rinominate e servizi cloud affidabili per eludere il rilevamento, rendendo fondamentali i controlli sugli endpoint e la consapevolezza degli utenti.

Security

Copilot Studio: rischi OWASP per Agentic AI

Microsoft spiega come Copilot Studio e l’imminente disponibilità generale di Agent 365 possano aiutare le organizzazioni ad affrontare la OWASP Top 10 per le applicazioni agentic. Questa guida è importante perché i sistemi di agentic AI possono usare identità reali, dati e strumenti, creando rischi di sicurezza che vanno ben oltre output imprecisi.

Security

Microsoft Defender HVA Protection Blocks Critical Attacks

Microsoft detailed how Microsoft Defender uses high-value asset awareness to detect and stop attacks targeting domain controllers, web servers, and identity infrastructure. By combining Security Exposure Management context with differentiated detections and automated disruption, Defender can raise protection levels on Tier-0 assets and reduce the blast radius of sophisticated intrusions.

Security

Sicurezza delle identità in Microsoft Entra: novità RSAC 2026

Microsoft sta posizionando la sicurezza delle identità come un piano di controllo unificato che combina infrastruttura delle identità, decisioni di accesso e protezione dalle minacce in tempo reale. Al RSAC 2026, l’azienda ha annunciato nuove funzionalità di Microsoft Entra e Defender, tra cui una dashboard di sicurezza delle identità, un punteggio di rischio unificato e la mitigazione adattiva del rischio per aiutare le organizzazioni a ridurre la frammentazione e rispondere più rapidamente agli attacchi basati sull’identità.