A Microsoft divulgou orientações para ajudar empresas e desenvolvedores a responder ao comprometimento de versões do Axios publicadas com código malicioso no npm.
O caso acendeu um alerta no ecossistema JavaScript por envolver uma das bibliotecas mais usadas para requisições HTTP em aplicações web e serviços corporativos.
As versões afetadas, 1.14.1 e 0.30.4, foram distribuídas com uma dependência maliciosa capaz de acionar um script pós-instalação.
Esse mecanismo permitia o download de uma segunda carga maliciosa, transformando uma atualização aparentemente comum em porta de entrada para infecção de estações de trabalho e pipelines de desenvolvimento.
Segundo a orientação da Microsoft, a primeira medida é interromper o uso das versões comprometidas e reverter imediatamente para edições seguras, como 1.14.0 ou 0.30.3.
A empresa também recomenda limpar o cache do npm para evitar reinstalações acidentais dos pacotes contaminados em novos ambientes.
Outro passo considerado essencial é tratar qualquer sistema que tenha instalado as versões alteradas como potencialmente comprometido.
Isso inclui revisar logs de build, verificar diretórios de dependências em busca do pacote malicioso associado ao ataque e analisar conexões feitas a servidores externos durante o processo de instalação.
A Microsoft também orienta a rotacionar credenciais, segredos e tokens que possam ter sido expostos em máquinas de desenvolvimento, servidores de CI/CD e ambientes de produção.
Em incidentes de supply chain, esse cuidado é decisivo porque o malware pode atingir diretamente fluxos automatizados com acesso privilegiado a sistemas internos.
Entre as recomendações adicionais está a revisão do versionamento no package.json.
A ideia é evitar prefixos que permitam atualizações automáticas amplas, reduzindo o risco de incorporar releases comprometidas sem validação prévia por parte da equipe responsável.
