La popular biblioteca Axios, utilizada en numerosos proyectos de JavaScript para realizar solicitudes HTTP, registró un ataque a la cadena de suministro que comprometió dos versiones específicas publicadas en el registro de NPM. Investigadores de StepSecurity identificó las versiones 1.14.1 y 0.30.4 como maliciosas, publicadas en las primeras horas del 31 de marzo de 2026. Los paquetes inyectaron una dependencia falsa que ejecuta un script de instalación capaz de instalar un troyano de acceso remoto en las máquinas de los desarrolladores.
El incidente expuso el vasto ecosistema de desarrollo que depende de la biblioteca, una de las más descargadas de la plataforma con más de 100 millones de descargas semanales. Los atacantes no cambiaron el código central de Axios, pero agregaron una dependencia oculta llamada Plain-crypto-js@4.2.1. La dependencia Essa se activa automáticamente al ejecutar npm install, instalando cargas útiles específicas para Windows, macOS y Linux.
Cómo se vio comprometida la cuenta de mantenimiento
Los responsables del ataque obtuvieron acceso a la cuenta NPM del principal mantenedor del proyecto, identificado como Jasonsaayman. Eles cambió la dirección de correo electrónico asociada aifstap@proton.mey publicó manualmente las versiones comprometidas, omitiendo los flujos de integración continua automatizados del repositorio en GitHub. La primera versión maliciosa, axios@1.14.1, se lanzó alrededor de las 00:21 UTC, seguida de axios@0.30.4 aproximadamente 39 minutos después.
Este enfoque permitió que los paquetes estuvieran disponibles sin activar comprobaciones de firmas ni procesos habituales de CI/CD. Los mantenedores de Axios reaccionaron rápidamente tras el descubrimiento y NPM eliminó ambas versiones en cuestión de horas, limitando el tiempo de exposición a aproximadamente dos o tres horas.
https://twitter.com/TheHackersNews/status/2038862039482093999?ref_src=twsrc%5EtfwDetalles técnicos del malware inyectado
La dependencia falsa Plain-crypto-js@4.2.1 no se importó en ningún punto del código Axios original y sirvió exclusivamente para ejecutar un script posterior a la instalación. El script actuó como un troyano de acceso remoto, estableciendo contacto con un servidor de comando y control para descargar cargas útiles adicionales adaptadas a cada sistema operativo.
Se utilizaron técnicas de ofuscación para dificultar el análisis inmediato, con comandos decodificados en tiempo de ejecución. Após instalación exitosa, el malware eliminó sus propios rastros, reemplazando el archivo package.json con una versión limpia para evitar la detección en inspecciones posteriores de la carpeta node_modules.
- Comprobación de versiones afectadas con el comando npm list axios que filtra 1.14.1 o 0.30.4
- Comprobando la presencia de la carpeta node_modules/plain-crypto-js como indicador de compromiso
- Busque artefactos como archivos temporales en /tmp/ld.py o equivalentes en otros sistemas
Medidas de mitigación recomendadas para desarrolladores
Los desarrolladores que instalaron las versiones 1.14.1 o 0.30.4 deben considerar que el entorno está comprometido y tomar medidas inmediatas. La principal recomendación es volver a las versiones seguras anteriores: axios@1.14.0 en la última rama o axios@0.30.3 en la versión heredada.
Es esencial eliminar la dependencia falsa, realizar una instalación limpia con el indicador –ignore-scripts y rotar todas las credenciales confidenciales, incluidos tokens NPM, claves SSH, accesos a servicios en la nube y variables de entorno. En las canalizaciones de integración continua, la adopción permanente del parámetro que ignora los scripts posteriores a la instalación ayuda a evitar ejecuciones automáticas no deseadas.
Impacto en el ecosistema de desarrollo de JavaScript
Axios se encuentra entre las bibliotecas más utilizadas en el ecosistema Node.js y en aplicaciones front-end, siendo una dependencia directa o indirecta de numerosos proyectos corporativos y de código abierto. El ataque resalta la vulnerabilidad inherente de las cuentas de mantenedores individuales en paquetes muy populares, incluso cuando el código central permanece intacto.
Los expertos en seguridad señalan que el método utilizado demuestra sofisticación operativa, con la preparación previa de la dependencia falsa en una versión limpia antes de inyectar la carga maliciosa. La estrategia Essa complicó las detecciones automáticas iniciales y aumentó el riesgo durante el corto período en el que las versiones estuvieron disponibles.
Directrices para comprobar y limpiar los entornos afectados.
Los equipos de desarrollo necesitan auditar los registros de instalación y el historial de paquetes para identificar si se descargaron versiones maliciosas. La presencia de la carpeta Plain-crypto-js en node_modules sirve como un fuerte indicador de que se ejecutó el dropper, independientemente de la eliminación posterior del archivo.
Después de la limpieza, se recomienda escanear completamente los sistemas con herramientas de detección de amenazas y monitorear las conexiones de red a las direcciones asociadas con el servidor de control. La actualización inmediata de las políticas de seguridad en repositorios privados también ayuda a reducir riesgos similares en otros paquetes.
Prevención de futuros ataques a los registros de paquetes
El incidente refuerza la importancia de medidas como la estricta autenticación multifactor en las cuentas de publicación, el monitoreo continuo de los cambios en los metadatos de los paquetes y la adopción de controles de integridad más sólidos. Los sistemas de código abierto Projetos con alta adopción pueden considerar procesos de revisión adicionales antes de nuevos lanzamientos.
Los desarrolladores individuales y las empresas deben priorizar la fijación de versiones seguras conocidas en los archivos de configuración del proyecto, evitando la instalación automática de actualizaciones sin validación previa. Las prácticas Essas ayudan a limitar la superficie de ataque en las cadenas de suministro de software.
La comunidad de seguridad continúa monitoreando el caso para mapear posibles víctimas y perfeccionar las herramientas de detección. Até En este momento, no hay informes públicos de explotación a gran escala, pero la recomendación unánime es tratar cualquier instalación de las versiones afectadas como un compromiso total del sistema involucrado.