Otro ataque más a la cadena de suministro
La popular librería de JavaScript Axios, utilizada por millones de desarrolladores para enviar solicitudes HTTP entre aplicaciones y servicios web, fue comprometida en uno de los ataques a la cadena de suministro más graves registrados en el ecosistema npm.
Con cerca de 100 millones de descargas semanales, el incidente encendió alarmas en toda la industria del software.
Cómo ocurrió el ataque
El ataque no explotó una vulnerabilidad del código de Axios. En cambio, los atacantes lograron secuestrar la cuenta de la persona responsable por mantener el proyecto y cambiar su correo por una bandeja anónima de ProtonMail.
Desde ahí, los intrusos evitaron los controles automáticos del pipeline de GitHub Actions y publicaron manualmente versiones maliciosas en el registro de npm usando la línea de comando (CLI).
En tan solo 39 minutos, se publicaron dos versiones comprometidas:
- axios@1.14.1 (00:21 UTC)
- axios@0.30.4 (01:00 UTC)
Cualquier desarrollador que instaló estas versiones descargó malware sin saberlo.
El caballo de Troya: un paquete falso llamado plain-crypto-js
El ataque fue planeado minuciosamente. Los atacantes publicaron primero un paquete falso llamado plain-crypto-js para crear historial y credibilidad.
18 horas después, lo actualizaron con código malicioso y lo añadieron como dependencia dentro de la versión comprometida de Axios.
Su función real era actuar como puerta de entrada para un Remote Access Trojan (RAT).
Tras la instalación, un script automático descargaba una segunda carga maliciosa adaptada al sistema operativo:
- macOS: disfrazado como daemon del sistema
- Windows: ejecución vía PowerShell
- Linux: puerta trasera en Python
Después de infectar el sistema, el malware eliminaba sus rastros para dificultar el análisis forense.
Un ataque altamente sofisticado
La firma de seguridad StepSecurity analizó el incidente y lo calificó como uno de los ataques más sofisticados contra npm.
Según Ashish Kurmi, CTO y cofundador de la empresa:
“No fue oportunista. Se prepararon tres cargas para distintos sistemas, se atacaron dos ramas en menos de una hora y todo fue diseñado para autodestruirse”.
Este tipo de campañas confirma una tendencia preocupante: los atacantes están enfocándose directamente en la cadena de suministro del software.
Riesgo crítico para desarrolladores y empresas
Aunque npm eliminó rápidamente las versiones maliciosas, el daño potencial es enorme:
- Equipos de desarrollo infectados
- Pipelines CI/CD comprometidos
- Posible filtración de credenciales y tokens
- Riesgo de infiltración en entornos de producción
Los expertos advierten que si instalaste esas versiones de Axios, debes asumir que tu sistema está comprometido.
Qué hacer si tu proyecto fue afectado
Las recomendaciones de seguridad son:
1) Revertir versiones
- Volver a una versión segura de Axios
- Verificar la eliminación de la dependencia maliciosa
2) Auditar pipelines
- Revisar logs de CI/CD y despliegues recientes
3) Rotar credenciales
- Cambiar contraseñas, API keys y tokens
4) Reconstruir entornos
- Reinstalar máquinas y pipelines desde cero si es necesario
Debido a la enorme presencia de Axios en el ecosistema global, las consecuencias de este ataque pueden perdurar.
Deja una respuesta