A conta npm dun mantedor de Axios foi o obxectivo dun ciberataque o 31 de marzo de 2026, que provocou a publicación de dúas versións maliciosas do popular paquete npm (v1.14.1 e v0.30.4). O incidente Este introduciu unha dependencia para `plain-crypto-js`, un novo paquete trojanizado, xerando unha vulnerabilidade importante na cadea de subministración de software.
Aínda que as versións comprometidas foron eliminadas en cuestión de horas, o uso xeneralizado de Axios, presente en aproximadamente o 80% dos contornos de nube e código, e con aproximadamente 100 millóns de descargas semanais, facilitou a exposición rápida. O malware Observou executouse nun 3 % dos ambientes afectados antes de que a ameaza estivese completamente contida.
Agora recoméndase encarecidamente ás organizacións de todo o mundo que realicen auditorías rigorosas dos seus sistemas para identificar calquera posible execución destas versións comprometidas, rastrexadas polos ID GHSA-fw8c-xr5c-95f9 e MAL-2026-2306, e que tomen medidas correctoras inmediatas para mitigar os riscos.
Detalles da violación e paquetes maliciosos
As versións fraudulentas de Axios diferenciáronse das lexítimas ao incluír unha dependencia directa de `plain-crypto-js`, un paquete que se creou especificamente con intención maliciosa. Essas As edicións comprometidas introducíronse directamente no rexistro npm a través dunha conta de mantedor violada, e máis tarde foron eliminadas despois de que se descubrise rapidamente a falla.
Mesmo cunha xanela de exposición relativamente curta, a alta prevalencia de Axios na comunidade de desenvolvemento provocou unha considerable propagación, que culminou en execucións medibles do código malicioso en diversos ambientes. A situación Essa subliña a velocidade á que se poden propagar os ataques á cadea de subministración, mesmo con respostas de contención rápidas.
Mecanismos de infección e tipos de malware
O paquete malicioso contén un contagotas, identificado como `setup.js`, que ten a función de descargar e executar cargas útiles de segunda fase específicas da plataforma desde o servidor `sfrclak.com:8000`. Execución Após, o contagotas realiza a autolimpeza, elimina e restaura un ficheiro `package.json` limpo, co obxectivo de dificultar a detección. As cargas útiles secundarias funcionan como troianos lixeiros de acceso remoto (RAT), comunicándose co servidor de mando e control (C2) cada 60 segundos, transmitindo o inventario do sistema e esperando instrucións. Embora Aínda que as tres variantes implementan unha funcionalidade similar —incluíndo a execución remota de shell, a inxección binaria, a exploración de directorios, a lista de procesos e o coñecemento do sistema— difiren na súa implementación para cada sistema operativo. En macOS, a carga útil é un binario universal Mach-O compilado en C++, capaz de asinar cargas útiles inxectadas mediante codeseño. No Windows, a carga útil é un script de PowerShell que establece a persistencia mediante unha clave de rexistro Run (MicrosoftUpdate) e un ficheiro de descarga por lotes de novo. Já en Linux, a carga útil entrégase como un script Python, demostrando a versatilidade dos atacantes á hora de orientarse a diferentes plataformas.
Actuacións urxentes para os equipos de seguridade
Dada a gravidade do incidente, os equipos de seguridade deben priorizar unha serie de accións inmediatas. É fundamental auditar o uso de Axios para identificar se as versións afectadas (1.14.1 ou 0.30.4) foron descargadas ou executadas en calquera lugar do contorno de desenvolvemento ou produción.
Se hai algún indicio de execución de paquetes maliciosos, a premisa debe ser que as credenciais foron comprometidas. Recomenda Analiza os sistemas afectados en busca de segredos, como variables de ambiente, claves de API e tokens de acceso, e xira estas credenciais.
Ademais, é imperativo investigar posibles camiños de compromiso. Os equipos deben revisar as canalizacións de construción e as máquinas de desenvolvedores para detectar calquera signo de acceso non autorizado ou persistencia, xa que o malware puido propagarse durante a instalación e comprometer a cadea de subministración.
A vixilancia continua é esencial, coa vixilancia de actividade sospeitosa, incluídas as conexións de saída a `sfrclak.com:8000`. Também É esencial analizar os rexistros de comportamentos de balizamento, solicitudes HTTP POST anómalas ou execucións de procesos inesperadas relacionadas coa instalación do paquete.
Identificadores clave de compromiso (IOC)
A identificación precisa dos artefactos maliciosos é fundamental para a mitigación de incidentes e a resposta. Catalogáronse Diversos indicadores de compromiso para axudar ás organizacións a detectar exposicións e infeccións.
Entre os paquetes comprometidos da primeira fase, “axios-0.30.4.tgz” (SHA256: 59336a964f110c25c112bcc5adca7090296b54ab33fa95c0744b94f8a0d80c0f.1) e . fóra. (SHA256: 5bb67e88846096f1f8d42a0f0350c9c46260591567612ff9af46f98d1b7571cd), ambos representando a fase inicial do ataque a través de paquetes npm.
O paquete malicioso da fase 1.5, o trojanizado `plain-crypto-js-4.2.1.tgz`, ten o hash SHA256: 58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a24c621a68. O compoñente Este é fundamental, xa que foi a dependencia a que introduciu o código nefasto nos sistemas.
Tamén se identificaron as cargas útiles da segunda fase: para macOS, o binario para e para Linux, o script Python `ld.py` (SHA256: fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af17b35f984).
Outros IOC importantes inclúen:
Resposta e prevención de ataques na cadea de subministración
A rápida detección e eliminación de versións maliciosas de Axios, aínda que é crucial, non elimina a necesidade dunha análise máis profunda da resistencia das cadeas de subministración de software. Incidentes así reforzan a importancia das estratexias de seguridade proactivas, que van máis alá da mera reacción a ataques xa rematados. Desenvolvedores e as organizacións deben implementar medidas sólidas para garantir os seus fluxos de traballo, desde a codificación inicial ata a entrega final, garantindo a integridade de cada compoñente.
A seguridade da cadea de subministración depende dun enfoque multifacético, que inclúe a adopción dunha autenticación multifactor (MFA) forte para todas as contas de desenvolvedores e mantedores de paquetes, revisións de código rigorosas e o uso de ferramentas de dixitalización de dependencias automatizadas. As prácticas Essas axudan a identificar e mitigar as vulnerabilidades antes de que poidan ser explotadas por actores maliciosos, creando unha barreira máis eficaz contra futuros intentos de compromiso.
Evolución da seguridade nos xestores de paquetes
O panorama de ameazas para xestores de paquetes como NPM está en constante evolución, requirindo que as plataformas e a comunidade de desenvolvedores se adapten continuamente. A concienciación sobre a seguridade da cadea de subministración aumentou drasticamente nos últimos anos, o que provocou melloras nas políticas e nas ferramentas de detección.
Os esforzos de colaboración entre mantedores, empresas de seguridade e a propia plataforma NPM son esenciais para reforzar as defensas. Isso inclúe a implementación de comprobacións de seguranza máis rigorosas para novos paquetes e actualizacións, así como a difusión das mellores prácticas entre os usuarios e colaboradores da comunidade de código aberto.
Medidas en curso para os desenvolvedores
Para garantir a seguridade continua, os desenvolvedores deben manter un comportamento vixiante. Isso inclúe comprobar a autenticidade e a reputación dos novos paquetes antes de integralos en proxectos e preferir dependencias ben establecidas e mantidas activamente.
