Axios sotto attacco: l’allarme supply chain che sta facendo impazzire i developer (e spiega perché tutti lo cercano)

Roma, 31 marzo 2026. In poche ore il termine axios è schizzato in cima alle ricerche tech su Google e ha inondato i feed di sviluppatori, cybersecurity e community npm. Ma non si tratta della nota testata giornalistica americana: stavolta a finire sotto i riflettori è la celeberrima libreria JavaScript per le chiamate HTTP, uno dei pacchetti più scaricati al mondo con oltre 83 milioni di download settimanali.

Tutto è partito nelle prime ore di oggi, quando due versioni del pacchetto – [email protected] e [email protected] – sono state pubblicate su npm da un account maintainer compromesso. Gli aggressori hanno sfruttato le credenziali rubate di Jason Saayman, principale maintainer del progetto, modificando persino l’email associata all’account npm in un anonimo indirizzo ProtonMail. In meno di 40 minuti hanno introdotto una dipendenza nascosta, [email protected], che non esisteva nel repository ufficiale su GitHub.

Il meccanismo è classico da supply chain attack ma particolarmente insidioso: il pacchetto malevolo attiva uno script postinstall che scarica un Remote Access Trojan (RAT) cross-platform, capace di colpire Windows, macOS e Linux. Una volta eseguito, il malware contatta un server di comando e controllo, installa payload specifici e poi si auto-elimina, sostituendo persino il proprio package.json per cancellare le tracce. npm ha già rimosso le versioni infette, ma chiunque abbia eseguito un npm install o npm update nelle ultime ore potrebbe essere esposto.

La notizia è esplosa in tempo reale sui canali specializzati. StepSecurity, The Hacker News, Socket e decine di researcher hanno lanciato l’allarme simultaneamente: si tratta di uno degli attacchi alla supply chain più gravi degli ultimi mesi proprio per la diffusione capillare di axios. La libreria è infatti onnipresente nei progetti frontend e backend, usata da React, Vue, Node.js e praticamente da ogni applicazione che deve comunicare con API. Un colpo che potrebbe aver compromesso centinaia di migliaia di codebase in tutto il mondo.

Non è la prima volta che axios finisce sotto attacco – solo a febbraio era stata scoperta una vulnerabilità DoS (CVE-2026-25639) – ma stavolta il livello è diverso: si parla di compromissione diretta dell’account maintainer, bypass del CI/CD di GitHub Actions e pubblicazione manuale via CLI. Un campanello d’allarme per l’intero ecosistema open source, già scosso da casi simili come quelli di xz-utils o event-stream negli anni passati.

Chi cerca “axios” oggi non è solo un developer che vuole installare la libreria per un nuovo progetto. È chi sta verificando la propria versione, chi sta rotando chiavi, chi sta controllando i lockfile di produzione. E qui entra in gioco la confusione storica: digitando “axios” su Google si alternano risultati sulla testata Axios (fondata nel 2016 da ex Politico, famosa per i suoi brevi e incisivi newsletter su politica e tech) e sulla libreria JavaScript. Ma in queste ore il traffico è schiacciantemente orientato al pacchetto npm. I forum, Reddit, LinkedIn e X sono pieni di post del tipo “ho axios in produzione, cosa devo fare?” o “rotate keys now”.

Dal punto di vista italiano, dove la community dev è tra le più attive in Europa, l’impatto è concreto. Tante startup e software house che lavorano su stack moderni rischiano di dover controllare migliaia di repository. Le raccomandazioni dei ricercatori sono chiare: bloccare immediatamente le versioni 1.14.1 e 0.30.4, forzare l’installazione della 1.14.0 (pulita), controllare i package-lock.json e, dove possibile, usare tool come npm audit o piattaforme di SCA (Software Composition Analysis).

L’incidente arriva mentre l’ecosistema JavaScript sta già discutendo del futuro di axios: alcuni sviluppatori, come emerso in articoli recenti, stanno migrando verso alternative più leggere e native come fetch con wrapper moderni. Ma la popolarità resta enorme proprio per la sua semplicità e affidabilità storica. Oggi quella fiducia è stata tradita.

In un mondo dove ogni dipendenza è un potenziale vettore di attacco, il caso axios di oggi non è solo una notizia tech: è un promemoria brutale. La supply chain open source è fragile, e basta un maintainer con credenziali deboli per mettere in ginocchio milioni di applicazioni. Mentre gli sviluppatori corrono ai ripari, resta una domanda aperta: quante altre librerie “troppo grandi per fallire” sono già nel mirino?Axios – sia la libreria sia il concetto di notizie veloci – ci ricorda che nel digitale la velocità è tutto. Ma stavolta è stata la velocità dell’attacco a lasciare tutti senza fiato.