Un sofisticado ciberataque ha expuesto una vulnerabilidad crítica en el registro del paquete JavaScript npm, lo que permite a los piratas informáticos inyectar código malicioso en la biblioteca cliente HTTP “axios”, ampliamente utilizada. Las versiones comprometidas, que estuvieron brevemente activas durante tres horas, contenían un troyano de acceso remoto (RAT) multiplataforma dirigido a sistemas macOS, Windows y Linux. Este incidente pone de relieve una falla fundamental en la cadena de suministro de software donde los métodos de autenticación obsoletos socavan incluso las medidas de seguridad más avanzadas.
El ataque: apuntar con precisión a una dependencia central
Los atacantes explotaron un token de acceso npm de larga duración que pertenecía a un mantenedor principal de “axios”, evadiendo los protocolos de seguridad modernos como GitHub Actions CI/CD y las certificaciones de procedencia SLSA. Los paquetes maliciosos, [email protected] y [email protected], implementaron una dependencia oculta ([email protected] ) que ejecuta un script posterior a la instalación, instalando silenciosamente el RAT en las máquinas de los desarrolladores. Los atacantes organizaron el ataque publicando primero una versión limpia de la dependencia maliciosa para establecer credibilidad antes de implementar la versión armada.
Esta violación es particularmente preocupante dado que “axios” impulsa aproximadamente el 80% de los entornos de código y de nube, incluidos los front-ends de React, los canales de CI/CD y las funciones sin servidor. Wiz informa que más de 100 millones de descargas por semana dependen de esta biblioteca, lo que significa que el alcance potencial del ataque es enorme. Huntress detectó las primeras infecciones apenas 89 segundos después de que los paquetes maliciosos se activaran, con al menos 135 sistemas comprometidos identificados entre sus clientes.
Patrón recurrente: el compromiso de las credenciales sigue siendo la principal debilidad
Este incidente marca el tercer compromiso importante de la cadena de suministro de npm en siete meses, todo debido al robo de credenciales de mantenimiento. A pesar de los esfuerzos de toda la industria para fortalecer el ecosistema después del gusano Shai-Hulud en 2025 y las vulnerabilidades posteriores descubiertas por Koi Security, la cuestión fundamental persiste: las cuentas de mantenedores individuales siguen siendo el eslabón más débil.
Los atacantes eludieron la pila de seguridad del proyecto explotando el hecho de que npm utiliza de forma predeterminada tokens clásicos de larga duración si están presentes tanto OIDC como tokens heredados. Esto significa que incluso con mecanismos de autenticación modernos, una credencial obsoleta puede anularlos silenciosamente. Como explica Merritt Baer, CSO de Enkrypt AI y ex CISO adjunto de AWS: “Se implementan controles modernos, pero si los tokens o claves heredados no se retiran, el sistema los favorece silenciosamente”.
Pasos inmediatos para las organizaciones
Las organizaciones que utilizan Node.js deben tratar esto como un incidente activo hasta que se confirme que los sistemas están limpios. La ventana de exposición cayó durante las horas pico de desarrollo y es posible que las canalizaciones de CI/CD hayan extraído automáticamente las versiones comprometidas.
Los siguientes pasos son cruciales:
- Compruebe la exposición: Busque archivos de bloqueo y registros de CI para las versiones maliciosas de
axios(1.14.1,0.30.4) o la dependencia oculta (plain-crypto-js). - Dependencias de pines: Fije inmediatamente a las versiones en buen estado conocidas (
[email protected]o[email protected]). - Asumir compromiso: Reconstruir las máquinas afectadas a partir de un estado en buen estado conocido y rotar todas las credenciales accesibles (tokens npm, claves AWS, claves SSH, secretos CI/CD).
- Bloquear comando y control: Agregue
sfrclak.comy142.11.206.73a las listas de bloqueo de DNS y reglas de firewall. - Buscar artefactos: Busque artefactos RAT en los sistemas afectados (consulte el artículo original para conocer las ubicaciones específicas del sistema operativo).
El problema más grande: la brecha de credenciales sigue abierta
La violación de “axios” subraya una falla crítica en la cadena de suministro de software: la dependencia de cuentas de mantenedores individuales como principal ancla de confianza. A pesar de los esfuerzos de la industria por mejorar la seguridad, la vulneración de credenciales sigue siendo el principal vector de ataque. Hasta que npm haga cumplir la certificación de procedencia obligatoria o la firma multipartita, el ecosistema seguirá siendo vulnerable.
Como concluye Baer, ”El compromiso de las credenciales es el tema recurrente en las infracciones de npm… Mitigamos el riesgo. No lo eliminamos”. El mantenedor de axios siguió las mejores prácticas, pero un token heredado socavó todos esos esfuerzos. El problema fundamental no son sólo las contraseñas débiles; es una falla estructural donde los métodos de autenticación obsoletos anulan silenciosamente las medidas de seguridad modernas.
