30–31 березня 2026 року в реєстрі npm з'явилися дві шкідливі версії популярної HTTP-бібліотеки axios. Інцидент стався через компрометацію акаунта одного з мейнтейнерів. Версії axios@1.14.1 та axios@0.30.4 встановлювали троян віддаленого доступу (RAT) на комп'ютери розробників під управлінням macOS, Windows та Linux.
Axios — один із найпопулярніших JavaScript-клієнтів, який є стандартною залежністю в проєктах Laravel, що використовують Vite, Inertia або інші інструменти збірки на базі Node.
Як повідомляє блог StepSecurity, зловмисник захопив npm-акаунт основного мейнтейнера axios (jasonsaayman), змінивши контактну пошту на адресу в Proton Mail. Використовуючи цей доступ, хакер опублікував нові версії, додавши до них одну фальшиву залежність — plain-crypto-js@4.2.1.
Цей пакет маскувався під легітимну бібліотеку crypto-js, але містив обфускований postinstall скрипт (setup.js), який виконував роль дроппера для кросплатформового RAT. Примітно, що в самому axios змінився лише файл package.json — решта з понад 85 вихідних файлів залишилися ідентичними до оригінальних.
Видання Venturebeat повідомляє:
Зловмисник не змінював вихідний код Axios. Натомість обидві гілки релізу отримали нову залежність — plain-crypto-js@4.2.1. Жодна частина коду її не імпортує. Пакет існує виключно для запуску скрипту після встановлення, який завантажує RAT на машину розробника.
Підготовка була ретельною. За 18 годин до релізу axios хакер випустив «чисту» версію plain-crypto-js з іншого акаунта, щоб сформувати історію публікацій та обійти автоматичні сканери. Потім з'явилася шкідлива версія 4.2.1. Шкідливе ПЗ самознищується після виконання та повертає чистий
package.json, щоб приховати сліди втручання.Експерти StepSecurity та Socket назвали це однією з найбільш технічно досконалих атак на ланцюжок постачання (supply chain attack) проти пакетів з топ-10 npm.
Це не є вразливістю самого Laravel, проте команда фреймворку вже оголосила про превентивні заходи для захисту спільноти:
Якщо ви встановлювали або оновлювали axios протягом останніх 24 годин, обов’язково перевірте свою систему.
Що зробила команда Laravel:
--ignore-scripts.Розробник Pushpak також опублікував скрипт для сканування локального комп'ютера на наявність вразливих інсталяцій.
Якщо ви використовували axios@1.14.1 або axios@0.30.4, будь-яку машину, на якій запускався npm install, слід вважати скомпрометованою. StepSecurity рекомендує:
axios@1.14.0 або 0.30.3).У сучасній веб-розробці аутентифікація є ключовою для захисту додатків і даних користувачів. Дізнайтеся, як модуль nuxt-sanctum-authentication спростить інтеграцію між Nuxt 3 та Laravel Sanctum, забезпечуючи надійний і зручний спосіб реалізації аутентифікації для вашого проєкту
Ви коли-небудь задумувалися, як полегшити свою роботу в Laravel? У нашій статті ми розглядаємо, як інтеграція Claude Code в PhpStorm може підвищити вашу продуктивність, спростивши процес написання коду та навчання нових розробників. Читайте далі, щоб дізнатися більше про переваги та функціональність цього потужного поєднання
Нова версія Livewire 4, представленої Келебом Порзіо на Laracon US 2025, обіцяє значні покращення у швидкості та організації компонентів. Які з інноваційних функцій підкорять ваше серце? Читайте далі, щоб дізнатися більше про те, як Livewire 4 полегшить вашу роботу