Actualización 31 de marzo de 2026, 13:28 UTC: Este artículo ha sido actualizado para agregar comentarios de Abdelfattah Ibrahim, ingeniero senior de seguridad ofensiva en Hacken.
Dos versiones maliciosas de Axios npm han generado advertencias para que los desarrolladores roten credenciales y traten los sistemas afectados como comprometidos después de que un ataque a la cadena de suministro envenenara la popular biblioteca cliente HTTP de JavaScript.
El compromiso fue informado por primera vez por la compañía de ciberseguridad Socket, que indicó que [email protected] y [email protected] fueron modificadas para incluir [email protected], una dependencia maliciosa que se ejecutaba automáticamente durante la instalación antes de que las versiones fueran eliminadas de npm.
Según la compañía de seguridad OX Security, el código alterado puede dar a los atacantes acceso remoto a los dispositivos infectados, permitiéndoles robar datos sensibles como credenciales de acceso, claves API e información de billeteras cripto.
El incidente muestra cómo un único componente de código abierto comprometido puede propagarse potencialmente a través de miles de aplicaciones que dependen de él, exponiendo no solo a los desarrolladores sino también a las plataformas y usuarios conectados al sistema.
Compañías de seguridad instan a la rotación de claves y auditorías del sistema
OX Security advirtió a los desarrolladores que instalaron [email protected] o [email protected] que traten sus sistemas como completamente comprometidos y roten inmediatamente las credenciales, incluidas las claves API y los tokens de sesión.
Socket indicó que las versiones comprometidas de Axios fueron modificadas para incluir una dependencia en [email protected], un paquete publicado poco antes del incidente y posteriormente identificado como malicioso.
Relacionado: La extensión del navegador de Trust Wallet quedó fuera de línea por un 'error' de Chrome Store, dice el CEO
La compañía dijo que la dependencia fue configurada para ejecutarse automáticamente durante la instalación a través de un script post-instalación, permitiendo a los atacantes ejecutar código en sistemas objetivo sin interacción adicional del usuario.
Socket aconsejó a los desarrolladores revisar sus proyectos y archivos de dependencia para las versiones afectadas de Axios y el paquete [email protected] asociado, y eliminar o revertir cualquier versión comprometida inmediatamente.
Abdelfattah Ibrahim, ingeniero senior de seguridad ofensiva en Hacken, dijo a Cointelegraph que el compromiso podría tener serias implicaciones para aplicaciones relacionadas con cripto que dependen de Axios para operaciones de backend.
"Son malas noticias para las dapps y aplicaciones que manejan criptomonedas porque Axios desempeña un papel enorme en las llamadas API", dijo, señalando que los sistemas afectados podrían incluir integraciones de exchanges, verificaciones de saldo de billeteras y transmisiones de transacciones.
Ibrahim dijo que el malware desplegado en el ataque funciona como un troyano de acceso remoto completo, permitiendo a los atacantes interactuar directamente con los sistemas comprometidos. Agregó que el incidente destaca una debilidad más amplia en cómo se manejan los riesgos de la cadena de suministro.
Incidentes cripto anteriores destacan riesgos de la cadena de suministro
Incidentes cripto anteriores han demostrado cómo las brechas en la cadena de suministro pueden escalar desde información robada de desarrolladores hasta pérdidas de billeteras de cara al usuario.
El 3 de enero, el investigador onchain ZachXBT informó que "cientos" de billeteras en redes compatibles con Ethereum Virtual Machine fueron drenadas en un ataque amplio que extrajo pequeñas cantidades de cada víctima.
El investigador de ciberseguridad Vladimir S. dijo que el incidente estaba potencialmente vinculado a una brecha de diciembre que afectó a Trust Wallet, que resultó en aproximadamente $7 millones en pérdidas en más de 2,500 billeteras.
Trust Wallet dijo posteriormente que la brecha pudo haberse originado en un compromiso de la cadena de suministro que involucró paquetes npm utilizados en su flujo de trabajo de desarrollo.
Magazine: Nadie sabe si la criptografía cuántica segura funcionará
Fuente: https://cointelegraph.com/news/axios-npm-supply-chain-attack-malicious-dependency?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
