2026 թվականի մարտի 31-ին Axios JavaScript գրադարանի npm հաշիվը ենթարկվել է հարձակման, ինչի հետևանքով հրապարակվել են գրադարանի վնասակար տարբերակներ՝ 1.14.1 և 0.30.4։ Այս տարբերակները պարունակում էին թաքնված կոդ, որը տեղադրում էր հեռահար մուտքի վնասակար ծրագիր (RAT)՝ Windows, macOS և Linux օպերացիոն համակարգերում։
Հարձակվողները օգտագործել են հափշտակված հաշիվը՝ շրջանցելով անվտանգության սովորական ստուգումները։ Վնասակար ծրագիրը ակտիվացել է «npm install» հրամանը գործարկելուց անմիջապես հետո, այնուհետև ինքնաոչնչացվել՝ հետքերը մաքրելու և հայտնաբերումից խուսափելու համար։ Հաշվի առնելով Axios-ի լայն կիրառումը՝ սա համարվում է ծրագրային ապահովման մատակարարման շղթայի ամենավտանգավոր միջադեպերից մեկը։
Մասնագետները խորհուրդ են տալիս բոլոր այն համակարգերը, որոնցում նշված ժամանակահատվածում տեղադրվել են այդ տարբերակները, համարել վտանգված։ Անհրաժեշտ է անհապաղ մեկուսացնել այդ համակարգերը, վերականգնել դրանք նախկինում արված անվտանգ կրկնօրինակներից և փոխել բոլոր գաղտնաբառերն ու մուտքային տվյալները, որոնք հասանելի են եղել տվյալ միջավայրում։