News (CA)

El pirateig del compte del mantenedor d’Axios insereix programari maliciós a npm i arriba als entorns del núvol

Por Redação 31 de março de 2026 8 min de leitura
WhatsApp Twitter Facebook Seguir no Google E-mail
Axios NPM Distribution
Foto: Axios NPM Distribution

Un incident de ciberseguretat ha compromès la integritat d’un dels paquets més utilitzats a la comunitat de programació global. S’ha infringit un responsable del compte de la biblioteca Axios al registre npm, cosa que va permetre que actors no autoritzats publiquin versions manipulades del programari. L’esdeveniment va exposar temporalment una àmplia xarxa d’infraestructures tecnològiques que depenen d’aquesta eina de comunicació entre aplicacions.

Les versions identificades com a malicioses, concretament 1.14.1 i 0.30.4, portaven una dependència oculta dissenyada per infiltrar-se en els sistemes. El codi inserit de manera fraudulenta va establir un pont per a la descàrrega de càrregues secundàries, adaptant-se al sistema operatiu de la màquina infectada. La ràpida detecció del problema va evitar una catàstrofe més gran, però l’abast inicial va provocar alertes entre els equips de resposta a incidents.

Amb una presència estimada a la majoria d’entorns de núvol i un gran volum de descàrregues que supera les importants marques setmanals, la biblioteca actua com un pilar en el desenvolupament web modern. La fallada registrada amb els codis GHSA-fw8c-xr5c-95f9 i MAL-2026-2306 va requerir una mobilització immediata per eliminar fitxers compromesos i auditar els servidors potencialment afectats.

Mecanismes d’infiltració i propagació de l’amenaça

La tàctica utilitzada pels atacants es basava en la tècnica d’enverinament de la cadena de subministrament. Eles va introduir el paquet de troians plain-crypto-js directament al codi font de les versions alterades, creant un vector d’atac silenciós.

Aquesta dependència maliciosa va funcionar com un cavall Troia, es va activar en el moment en què els desenvolupadors van actualitzar o instal·lar la biblioteca als seus projectes. El fitxer principal del programari maliciós, anomenat setup.js, va actuar com a comptagotes encarregat de preparar el terreny per a la infecció real. Un cop executat, es va posar en contacte amb un servidor extern per obtenir instruccions específiques i descarregar els artefactes finals del pirateig.

Per assegurar-se que la infecció passava desapercebuda pels sistemes de control estàndard, l’script va realitzar una rutina d’auto-neteja immediatament després de descarregar la càrrega útil principal. Ele va esborrar els seus propis rastres i va restaurar un fitxer de configuració net, emmascarant el canvi en l’entorn de desenvolupament. Durante el breu període en què les versions manipulades van romandre disponibles al repositori oficial, les dades indiquen que una part dels sistemes que van descarregar l’actualització realment van executar el codi nociu. Els experts van identificar els següents elements bàsics en l’operació:

  • Servidor de comandaments i control allotjat al domini sfrclak.com.
  • Comunicació establerta a través del port 8000.
  • Transmissió de l’inventari del sistema cada 60 segons.
  • Execució remota de l’intèrpret d’ordres i capacitat d’injecció binària.

Comportament multiplataforma del codi nociu

L’artefacte maliciós va demostrar un alt nivell de sofisticació adaptant la seva càrrega útil final segons el sistema operatiu de l’objectiu. La versatilitat de Essa assegurava que les màquines amb diferents plataformes fossin igualment susceptibles al robatori de dades i al control remot.

En entorns macOS, l’amenaça es va manifestar mitjançant un Mach-O binari universal compilat en C++, capaç de signar processos injectats. Já als sistemes Windows, la persistència es va assegurar mitjançant scripts de PowerShell i claus de registre, mentre que a Linux, l’execució es va produir mitjançant scripts Python.

Procediments d’auditoria en infraestructures corporatives

La identificació de qualsevol de les versions compromeses en servidors de producció o màquines locals requereix una resposta immediata dels equips tecnològics. El primer pas és aïllar l’entorn i aturar qualsevol procés de compilació que utilitzi la biblioteca afectada.

L’abast de la investigació ha de cobrir la cerca de secrets filtrats, com ara variables d’entorn, claus d’accés a la base de dades i fitxes d’interfície de programació. El supòsit estàndard en incidents d’aquesta naturalesa és considerar que totes les credencials presents a la màquina infectada s’han vist compromeses.

La rotació completa de la contrasenya i la revocació de l’accés antic esdevenen passos obligatoris per restablir la seguretat. Além A més, l’anàlisi dels registres de xarxa ajuda a identificar possibles comunicacions anòmales amb IP externes durant el període d’exposició.

Indicadors tècnics per al seguiment d’intrusions

El treball de contenció depèn directament de la recerca d’artefactes específics deixats pel programari maliciós als sistemes operatius. Els hash criptogràfics dels fitxers originals manipulats serveixen com a primer filtre en les exploracions de seguretat automatitzades.

Leia Tambem
Samsung llança una nova actualització del sistema amb noves funcions per als usuaris de Galaxy Watch 4

Samsung llança una nova actualització del sistema amb noves funcions per als usuaris de Galaxy Watch 4

La venda al detall digital redueix el valor del telèfon intel·ligent Galaxy S25 5G amb bonificacions bancàries i intercanvi de dispositius

La venda al detall digital redueix el valor del telèfon intel·ligent Galaxy S25 5G amb bonificacions bancàries i intercanvi de dispositius

Un descompte important al Galaxy S25 Plus redueix el valor per sota dels 4500 reals a la botiga en línia

Un descompte important al Galaxy S25 Plus redueix el valor per sota dels 4500 reals a la botiga en línia

El paquet d’etapa intermèdia, responsable de salvar la bretxa entre la biblioteca legítima i el servidor dels delinqüents, té una signatura digital única que ha de ser bloquejada per tallafocs i sistemes de detecció d’intrusions.

A l’ecosistema Microsoft, la presència de fitxers executables amagats en carpetes temporals o directoris de programes indica una infecció correcta. La creació de tasques programades no autoritzades també és un fort indici de compromís.

Per a les infraestructures basades en programari lliure, l’atenció s’ha de dirigir al directori de fitxers temporals del sistema, on l’script interpretat normalment es desempaqueta abans d’iniciar la comunicació amb la infraestructura d’atac.

Debilitats en la distribució de programari de codi obert

L’episodi destaca una debilitat estructural en el model de distribució de codi obert, on la confiança implícita en paquets àmpliament utilitzats crea vectors d’atac altament eficients. Quando s’incompleix el compte d’un únic mantenedor amb privilegis de publicació, l’efecte cascada afecta milers de projectes corporatius i independents simultàniament. L’absència de múltiples capes de verificació en penjar noves versions facilita la inserció de codi no auditat.

La resposta de la comunitat tècnica implica requerir mètodes d’autenticació més estrictes per als desenvolupadors que gestionen repositoris crítics. La implementació de signatures digitals obligatòries i la verificació d’integritat en dos passos es destaquen com a solucions viables per mitigar el risc de segrest de comptes. L’anàlisi del codi estàtic Ferramentas també guanya rellevància a l’hora de detectar comportaments anòmals abans que el programari arribi als usuaris finals.

Supervisió del trànsit i detecció d’anomalies de xarxa

La defensa proactiva contra les amenaces persistents avançades requereix una visibilitat completa del trànsit de xarxa generat per les aplicacions internes. L’establiment de línies de base de comportament normal permet que els sistemes de seguretat identifiquin ràpidament desviacions, com ara connexions de sortida sense mapes o pics de transferència de dades en moments atípics. En el cas concret d’aquest incident, la comunicació constant amb l’adreça IP 142.11.206.73 va representar un clar senyal d’activitat maliciosa, caracteritzant el comportament de balises típic dels troians d’accés remot. La configuració d’alertes automatitzades per a sol·licituds HTTP POST dirigides a dominis recentment registrats o de baixa reputació proporciona una barrera addicional contra la filtració d’informació sensible. La integració de la intel·ligència sobre amenaces als tallafocs de nova generació accelera el bloqueig de les infraestructures criminals conegudes, reduint la finestra d’oportunitat per a l’exfiltració de dades corporatives.

Pràctiques de ciberhigiene per a programadors

Mantenir un entorn de desenvolupament segur requereix adoptar polítiques estrictes de control de dependències. Bloquejar les actualitzacions automàtiques de paquets i requerir l’aprovació prèvia per a les noves versions redueix dràsticament la superfície d’atac en les canonades d’integració contínua.

Reforç de credencials i control d’accés

L’adopció de l’autenticació multifactor basada en maquinari es presenta com la defensa més sòlida contra el robatori de credencials de manteniment. La Senhas tradicional, fins i tot quan és complexa, resulta insuficient davant les campanyes de pesca orientades i les filtracions de bases de dades de tercers.

La gestió estricta de privilegis garanteix que només els usuaris estrictament necessaris poden canviar el codi font principal. La revocació immediata de l’accés als empleats inactius complementa l’estratègia de reducció de riscos interns i externs.