El ataque de Axios a NPM inyecta RAT y compromete a miles de desarrolladores
La popular biblioteca Axios, utilizada en numerosos proyectos de JavaScript para realizar solicitudes HTTP, registró un ataque a la cadena de suministro que comprometió dos versiones específicas publicadas en el registro de NPM. Investigadores de StepSecurity identificó las versiones 1.14.1 y 0.30.4 como maliciosas, publicadas en las primeras horas del 31 de marzo de 2026. Los paquetes inyectaron una dependencia falsa que ejecuta un script de instalación capaz de instalar un troyano de acceso remoto en las máquinas de los desarrolladores.
El incidente expuso el vasto ecosistema de desarrollo que depende de la biblioteca, una de las más descargadas de la plataforma con más de 100 millones de descargas semanales. Los atacantes no cambiaron el código central de Axios, pero agregaron una dependencia oculta llamada Plain-crypto-js@4.2.1. La dependencia Essa se activa automáticamente al ejecutar npm install, instalando cargas útiles específicas para Windows, macOS y Linux.
Cómo se vio comprometida la cuenta de mantenimiento
Los responsables del ataque obtuvieron acceso a la cuenta NPM del principal mantenedor del proyecto, identificado como Jasonsaayman. Eles cambió la dirección de correo electrónico asociada aifstap@proton.mey publicó manualmente las versiones comprometidas, omitiendo los flujos de integración continua automatizados del repositorio en GitHub. La primera versión maliciosa, axios@1.14.1, se lanzó alrededor de las 00:21 UTC, seguida de axios@0.30.4 aproximadamente 39 minutos después.
Este enfoque permitió que los paquetes estuvieran disponibles sin activar comprobaciones de firmas ni procesos habituales de CI/CD. Los mantenedores de Axios reaccionaron rápidamente tras el descubrimiento y NPM eliminó ambas versiones en cuestión de horas, limitando el tiempo de exposición a aproximadamente dos o tres horas.
⚡ ADVERTENCIA: Axios npm (83 millones de descargas semanales) se vio comprometido, lo que convirtió las instalaciones en una ruta de entrega de malware.
—The Hacker News (@TheHackersNews)31 de marzo de 2026
Las versiones 1.14.1 y 0.30.4 generaron una dependencia falsa que eliminó un RAT multiplataforma y luego borró la evidencia. Published usando credenciales de mantenedor robadas.
🔗What…pic.twitter.com/rBTiPGZmbr
Detalles técnicos del malware inyectado
La dependencia falsa Plain-crypto-js@4.2.1 no se importó en ningún punto del código Axios original y sirvió exclusivamente para ejecutar un script posterior a la instalación. El script actuó como un troyano de acceso remoto, estableciendo contacto con un servidor de comando y control para descargar cargas útiles adicionales adaptadas a cada sistema operativo.
Se utilizaron técnicas de ofuscación para dificultar el análisis inmediato, con comandos decodificados en tiempo de ejecución. Após instalación exitosa, el malware eliminó sus propios rastros, reemplazando el archivo package.json con una versión limpia para evitar la detección en inspecciones posteriores de la carpeta node_modules.
- Comprobación de versiones afectadas con el comando npm list axios que filtra 1.14.1 o 0.30.4
- Comprobando la presencia de la carpeta node_modules/plain-crypto-js como indicador de compromiso
- Busque artefactos como archivos temporales en /tmp/ld.py o equivalentes en otros sistemas
Medidas de mitigación recomendadas para desarrolladores
Los desarrolladores que instalaron las versiones 1.14.1 o 0.30.4 deben considerar que el entorno está comprometido y tomar medidas inmediatas. La principal recomendación es volver a las versiones seguras anteriores: axios@1.14.0 en la última rama o axios@0.30.3 en la versión heredada.
Es esencial eliminar la dependencia falsa, realizar una instalación limpia con el indicador –ignore-scripts y rotar todas las credenciales confidenciales, incluidos tokens NPM, claves SSH, accesos a servicios en la nube y variables de entorno. En las canalizaciones de integración continua, la adopción permanente del parámetro que ignora los scripts posteriores a la instalación ayuda a evitar ejecuciones automáticas no deseadas.
Impacto en el ecosistema de desarrollo de JavaScript
Axios se encuentra entre las bibliotecas más utilizadas en el ecosistema Node.js y en aplicaciones front-end, siendo una dependencia directa o indirecta de numerosos proyectos corporativos y de código abierto. El ataque resalta la vulnerabilidad inherente de las cuentas de mantenedores individuales en paquetes muy populares, incluso cuando el código central permanece intacto.
Los expertos en seguridad señalan que el método utilizado demuestra sofisticación operativa, con la preparación previa de la dependencia falsa en una versión limpia antes de inyectar la carga maliciosa. La estrategia Essa complicó las detecciones automáticas iniciales y aumentó el riesgo durante el corto período en el que las versiones estuvieron disponibles.
Directrices para comprobar y limpiar los entornos afectados.
Los equipos de desarrollo necesitan auditar los registros de instalación y el historial de paquetes para identificar si se descargaron versiones maliciosas. La presencia de la carpeta Plain-crypto-js en node_modules sirve como un fuerte indicador de que se ejecutó el dropper, independientemente de la eliminación posterior del archivo.
Después de la limpieza, se recomienda escanear completamente los sistemas con herramientas de detección de amenazas y monitorear las conexiones de red a las direcciones asociadas con el servidor de control. La actualización inmediata de las políticas de seguridad en repositorios privados también ayuda a reducir riesgos similares en otros paquetes.
Prevención de futuros ataques a los registros de paquetes
El incidente refuerza la importancia de medidas como la estricta autenticación multifactor en las cuentas de publicación, el monitoreo continuo de los cambios en los metadatos de los paquetes y la adopción de controles de integridad más sólidos. Los sistemas de código abierto Projetos con alta adopción pueden considerar procesos de revisión adicionales antes de nuevos lanzamientos.
Los desarrolladores individuales y las empresas deben priorizar la fijación de versiones seguras conocidas en los archivos de configuración del proyecto, evitando la instalación automática de actualizaciones sin validación previa. Las prácticas Essas ayudan a limitar la superficie de ataque en las cadenas de suministro de software.
La comunidad de seguridad continúa monitoreando el caso para mapear posibles víctimas y perfeccionar las herramientas de detección. Até En este momento, no hay informes públicos de explotación a gran escala, pero la recomendación unánime es tratar cualquier instalación de las versiones afectadas como un compromiso total del sistema involucrado.
Veja Tambem em Noticias (ES)
Una nueva prueba de batería coloca al Galaxy S26 Ultra por delante del iPhone 17 Pro Max en el ranking mundial
Samsung lanza una nueva actualización del sistema con nuevas funciones para los usuarios del Galaxy Watch 4
El comercio minorista digital reduce el valor del teléfono inteligente Galaxy S25 5G con bonos bancarios e intercambio de dispositivos
El nuevo Resident Evil de Zach Cregger ignora los juegos y se centra en una historia inédita con nuevos personajes
Los rumores apuntan a que Nintendo está preparando una edición especial de Switch 2 con un remake de Ocarina of Time
Apple acelera la producción del iPhone 17e y desarrolla nuevo modelo Air con sistema de doble cámara
La plataforma Epic Games lanza doce juegos de alto presupuesto sin costo permanente para los usuarios de PC
La caída del precio de PlayStation 5 Pro acelera las ventas minoristas digitales y elimina las existencias globales
La nueva actualización del sistema Apple optimiza la gestión de tareas urgentes para los usuarios de iPhone
Filtración detalla el hardware de la nueva PlayStation portátil con gráficos superiores a la Xbox Series S
Oppo lanza oficialmente el Find X9 Ultra en todo el mundo con lentes Hasselblad y batería robusta
