Un ataque compromete a Axios, uno de los paquetes más populares del ecosistema JavaScript

TECNOLOG�AUn atacante secuestr� la cuenta del responsable principal del software y public� dos versiones maliciosas que instalaban un troyano de acceso remoto en Windows, macOS y Linux. El paquete acumula m�s de 100 millones de descargas semanalesActualizado Martes, 31 marzo 2026 - 22:25Uno de las librer�as m�s populares del ecosistema Javascript se ha sido "envenenada". Se trata de Axios, un c�digo que utilizan millones de desarrolladores en todo el mundo para gestionar peticiones HTTP en su c�digo. Un atacante consigui� acceso a la cuenta npm (Node Packet Manager, el gestor de paquetes predeterminado para Node.js, esencial para el desarrollo en JavaScript) de jasonsaayman, el responsable principal de Axios, y cambi� su correo electr�nico asociado a una direcci�n bajo su control.Con esas credenciales public� dos versiones maliciosas del paquete, la 1.14.1 y la 0.30.4, en un intervalo de apenas 39 minutos. Ambas ramas quedaron comprometidas.Lo llamativo es que el atacante no modific� ni una sola l�nea del c�digo fuente de Axios. En su lugar, a�adi� una dependencia fantasma al archivo. Esta dependencia, creada expresamente para el ataque, conten�a una rutina que se ejecutaba autom�ticamente durante la instalaci�n y desplegaba un troyano de acceso remoto (RAT, por sus siglas en ingl�s) capaz de operar en Windows, macOS y Linux.PremeditadoEl ataque no ha sido improvisado. Dieciocho horas antes de la publicaci�n de las versiones maliciosas de Axios, el atacante public� tambi�n una versi�n limpia en el registro de npm para que hubiese antecedentes y no saltaran alarmas automatizadas. Las versiones con el c�digo malicioso llegaron justo antes de medianoche del domingo, en la franja horaria que maximizaba el tiempo de exposici�n antes de que los responsables pudieran reaccionar.Las versiones con la vulnerabilidad estuvieron disponibles en npm durante aproximadamente tres horas antes de ser eliminadas. En ese intervalo, la empresa de seguridad Huntress detect� al menos 135 sistemas contactando con el servidor del atacante. En cada uno de ellos, el troyano realizaba un reconocimiento completo del sistema (directorios, procesos activos, unidades de disco) y enviaba esa informaci�n al servidor remoto.El responsable leg�timo de Axios ha explicado que ten�a activada la autenticaci�n en dos factores en pr�cticamente todos sus servicios. A�n no est� claro c�mo se produjo el secuestro de la cuenta.Axios est� presente en aproximadamente el 80% de los entornos en la nube, y un 3% de los entornos afectados llegaron a ejecutar las versiones comprometidas. El equipo de seguridad de Google cree que el ataque podr�a haber tenido como origen Coral de Norte. "Los hackers norcoreanos tienen una gran experiencia con ataques a la cadena de suministro, que hist�ricamente han utilizado para robar criptomonedas. El alcance completo de este incidente a�n no est� claro, pero dada la popularidad del paquete comprometido, esperamos que tenga un gran impacto", explican analistas de la compa��a.