Cinco ataques importantes à cadeia de suprimentos de código aberto aconteceram em apenas doze dias. Axios. Trivy. LiteLLM. Telnyx. E depois o vazamento do código-fonte do Claude Code por cima de tudo.
Ferramentas diferentes. Ecossistemas diferentes. A mesma causa raiz toda vez: credenciais, configurações e falhas de processo.
Vamos analisar o que aconteceu, o que os conecta e o que sua equipe pode realmente fazer a respeito.
O Que Aconteceu
O Sequestro do Axios no npm 31 de março
Axios é uma das ferramentas mais utilizadas no ecossistema JavaScript. Mais de 100 milhões de downloads semanais. É o tipo de dependência que está em toda parte — em apps frontend, serviços backend, plataformas empresariais e pipelines de CI/CD.
Em 31 de março, um agente de ameaças sequestrou a conta npm do mantenedor principal do Axios e publicou duas versões maliciosas (1.14.1 e 0.30.4). Essas versões continham uma dependência oculta chamada "plain-crypto-js" que instalava silenciosamente um Trojan de Acesso Remoto multiplataforma no momento em que qualquer máquina executava npm install.
O atacante preparou a dependência maliciosa 18 horas antes, construiu payloads separados para Windows, macOS e Linux, atingiu ambas as branches de release em 39 minutos e projetou o malware para se autodestruir após a execução para cobrir seus rastros.
O Grupo de Inteligência de Ameaças do Google atribuiu o ataque ao UNC1069, um agente de ameaças norte-coreano com motivação financeira ativo desde pelo menos 2018.
As versões maliciosas ficaram ativas por aproximadamente duas horas antes de serem removidas. Mas com 100 milhões de downloads semanais, mesmo uma janela de duas horas cria uma exposição massiva.
Os Comprometimentos do LiteLLM e Telnyx no PyPI 24–27 de março
Este começou com o Trivy, um scanner de segurança de código aberto do qual muitas organizações dependem para detectar exatamente esse tipo de ameaça.
Em 19 de março, um grupo conhecido como TeamPCP sequestrou tags de release no repositório GitHub Actions do Trivy, injetando malware de coleta de credenciais. De lá, os atacantes usaram as credenciais roubadas para acessar o Checkmarx KICS em 23 de março, e depois o PyPI.
Em 24 de março, versões maliciosas do LiteLLM (1.82.7 e 1.82.8) foram publicadas no PyPI. LiteLLM é uma camada proxy de IA presente em aproximadamente 36% dos ambientes cloud, gerenciando requisições API para mais de 100 provedores diferentes de modelos de linguagem. Os pacotes comprometidos usavam o mecanismo de arquivos .pth do Python para executar automaticamente em cada inicialização do interpretador Python, coletando chaves SSH, credenciais cloud, configs Kubernetes, senhas de bancos de dados e chaves API.
Três dias depois, o pacote Python do Telnyx foi atingido com o mesmo método.
Os pacotes do LiteLLM ficaram disponíveis por cerca de três horas. Com três milhões de downloads diários do pacote, a janela de exposição foi significativa.
O Vazamento do Código-Fonte do Claude Code 31 de março
No mesmo dia do ataque ao Axios, a Anthropic acidentalmente enviou o código-fonte completo de seu CLI Claude Code dentro de um pacote npm público. A versão 2.1.88 incluía um arquivo source map — um artefato de depuração que mapeava o código de produção de volta ao código-fonte TypeScript original. Esse arquivo apontava para um arquivo zip no armazenamento cloud da própria Anthropic contendo aproximadamente 512.000 linhas de código em 1.900 arquivos.
Isso não foi um hack nem uma brecha. Foi um erro de empacotamento causado por um arquivo mal configurado no processo de release. A Anthropic confirmou que foi erro humano.
Em questão de horas, o código foi espelhado no GitHub, acumulando dezenas de milhares de forks. O vazamento expôs a arquitetura completa de um produto com receita anual estimada em US$ 2,5 bilhões, incluindo funcionalidades não lançadas, ferramentas internas e prompts do sistema.
Esta foi na verdade a segunda vez que um vazamento similar de source map ocorreu com o Claude Code, após um incidente anterior em fevereiro de 2025.
O Padrão
Dê um passo atrás dos incidentes individuais e o quadro fica claro.
Nenhum desses foi um ataque impossivelmente sofisticado contra o qual ninguém poderia ter se defendido. Cada um se resumiu ao fundamental:
O Ataque ao Axios
Teve sucesso porque o atacante obteve um token de acesso npm de longa duração. Uma credencial comprometida desbloqueou direitos de publicação de um pacote usado por milhões.
O Ataque ao LiteLLM
Se propagou a partir de um único token CI/CD exposto. Credenciais roubadas de uma ferramenta deram acesso a outra, depois outra, depois outra.
O Vazamento do Claude Code
Aconteceu por causa de uma exclusão ausente em um arquivo de configuração. Um único descuido no pipeline de release expôs tudo.
Todos esses foram falhas de processo antes de se tornarem incidentes de segurança.
As Boas Notícias
Tudo o que acabamos de descrever tem solução. O manual já existe. Isso é o que separa as equipes que foram afetadas das que não foram.
Fixe suas dependências
Não permita que seu sistema de build baixe automaticamente a última versão de um pacote. Trave as versões de dependências nos seus lockfiles e verifique a integridade do que você está instalando. Se seu pipeline CI/CD tivesse fixado o Axios em 1.14.0, a versão maliciosa 1.14.1 nunca teria sido instalada.
Exija proveniência de build
Pacotes legítimos publicados por pipelines CI/CD adequados incluem atestações criptográficas de build. As versões maliciosas do Axios não tinham proveniência OIDC. Configurar seu proxy de pacotes para rejeitar pacotes sem proveniência teria detectado esses imediatamente.
Controle suas publicações
Separe a capacidade de escrever código da capacidade de publicá-lo. Exija múltiplas aprovações para releases. Não permita que uma única conta comprometida publique diretamente em produção.
Segmente as permissões de CI/CD
O ataque ao LiteLLM se propagou porque um conjunto de credenciais desbloqueou acesso a múltiplos sistemas. Limite o escopo dos seus tokens de automação. Use credenciais de curta duração. Audite quais sistemas têm direitos de publicação e limite o raio de explosão de qualquer comprometimento.
Audite seu pipeline de release
O vazamento do Claude Code aconteceu porque um arquivo de depuração entrou em um pacote de produção. Verificações automatizadas de source maps, artefatos de depuração e arquivos sensíveis no seu pipeline podem interceptá-los antes da publicação.
Trate credenciais como se já estivessem em risco
Rotacione tokens regularmente. Use tokens de curta duração e escopo de automação em vez de tokens de acesso pessoal de longa duração. Monitore atividade de publicação inesperada.
Como a EB DevTech Ajuda
Este é exatamente o tipo de trabalho que fazemos todos os dias.
Na EB DevTech, ajudamos empresas a construir a base operacional onde podem se mover rápido e ainda dormir tranquilas. Trabalhamos com sua equipe para proteger pipelines de build, verificar dependências antes que cheguem à produção, segmentar permissões para que uma credencial ruim não vire uma bola de neve, e implementar os controles que detectam falhas de processo antes que virem manchetes.
A IA está avançando em um ritmo incrível agora. Isso é empolgante. Mas velocidade sem estrutura é apenas caos com prazo. Ajudamos você a manter a velocidade e adicionar a estrutura.
As ferramentas são incríveis. Vamos garantir que seu processo também seja.
Quer se antecipar aos riscos de cadeia de suprimentos?
Deixe-nos ajudá-lo a proteger seus pipelines de build, aplicar governança de dependências e auditar sua postura de segurança CI/CD.
Contatar EB DevTechFontes
- Google Cloud Blog — "North Korea-Nexus Threat Actor Compromises Widely Used Axios NPM Package in Supply Chain Attack"
- Snyk — "Axios npm Package Compromised: Supply Chain Attack Delivers Cross-Platform RAT"
- The Hacker News — "Axios Supply Chain Attack Pushes Cross-Platform RAT via Compromised npm Account"
- The Hacker News — "Google Attributes Axios npm Supply Chain Attack to North Korean Group UNC1069"
- Sophos — "Axios npm package compromised to deploy malware"
- SOCRadar — "Axios npm Hijack 2026: Everything You Need to Know"
- Snyk — "How a Poisoned Security Scanner Became the Key to Backdooring LiteLLM"
- Datadog Security Labs — "LiteLLM and Telnyx compromised on PyPI"
- Wiz — "TeamPCP Trojanizes LiteLLM in Continuation of Campaign"
- FutureSearch — "litellm 1.82.8 Supply Chain Attack on PyPI"
- Sonatype — "Compromised litellm PyPI Package Delivers Multi-Stage Credential Stealer"
- The Record — "Supply chain attack hits widely-used AI package"
- Microsoft Security Blog — "Guidance for detecting, investigating, and defending against the Trivy supply chain compromise"
- DreamFactory — "Five Supply Chain Attacks in Twelve Days"
- VentureBeat — "Claude Code's source code appears to have leaked"
- Axios — "Anthropic leaked its own Claude source code"
- The Register — "Anthropic accidentally exposes Claude Code source code"
- CNBC — "Anthropic leaks part of Claude Code's internal source code"
- The Hacker News — "Claude Code Source Leaked via npm Packaging Error"