El popular cliente HTTP Axios fue comprometido recientemente en un incidente que muchos investigadores atribuyen a un ciberataque vinculado a Corea del Norte. Los atacantes obtuvieron acceso a la cuenta NPM de un mantenedor de Axios, " jasonsaayman ", y publicaron dos versiones maliciosas del paquete.
Análisis de la Amenaza
Con datos recopilados por StepSecurity, se publicaron dos versiones comprometidas de Axios la 1.14.1 y la 0.30.4 utilizando las credenciales robadas del responsable del mantenimiento. Esto permitió a los atacantes eludir el sistema de integración y entrega continua (CI/CD) de GitHub Actions de Axios. El único propósito de esta dependencia inyectada era ejecutar un script posterior a la instalación que funciona como un troyano de acceso remoto (RAT) multiplataforma. Una vez instalado, ataca sistemas macOS, Windows y Linux durante el proceso normal de instalación de paquetes.
- Las versiones 1.14.1 y la 0.30.4 inyectaron la versión 4.2.1 de plain-crypto-js haciendola pasar por una dependencia falsa.
No solo es la vulnerabilidad es el contexto de la misma
Tras infiltrarse en el sistema, el programa malicioso de acceso remoto (RAT) se conecta a un servidor de comando y control (C2) activo, que descarga una carga útil de segunda fase específica para la plataforma. Una vez ejecutado, el malware se autoelimina y reemplaza el paquete infectado con una versión limpia para evitar la detección forense.
Este nivel de autolimpieza demuestra una mayor sofisticación en comparación con los ataques más comunes a la cadena de suministro, ya que reduce significativamente los indicadores visibles de compromiso y dificulta la detección y la investigación.
El verdadero riesgo de las organizaciones
Con más de 83 millones de descargas semanales, Axios es uno de los clientes HTTP más utilizados en el ecosistema JavaScript, presente en frameworks de frontend, servicios de backend y aplicaciones empresariales. Incluso una breve inserción de código malicioso en una dependencia tan confiable permite a los atacantes explotar actualizaciones de software rutinarias y procesos de compilación automatizados, a menudo sin ser detectados de inmediato.
Exposición y Riesgo Organizacional
Este tipo de incidentes refuerza una realidad incómoda:
- Información confidencial expuesta.
- Ataque directo a endpoints.
- Ataque a entornos de producción.
Estrategias de Mitigación
Las acciones inmediatas son claras:
| Área de Enfoque | Acción Recomendada |
|---|---|
| Analísis de información | Analice los sistemas afectados en busca de información confidencial expuesta, incluidas claves API, tokens y variables de entorno, y cámbielas inmediatamente. |
| Eliminación de Malware | Elimine cualquier artefacto malicioso de los puntos finales, las canalizaciones de compilación y los entornos de producción. |
| Versión de Axion | Reduzca la versión de Axios a una versión segura conocida ( versión 1.14.0 o versión 0.30.3 ) |
Axios y la importancia de su uso:
Axios, uno de los paquetes más utilizados en JavaScript, fue comprometido en un ataque que permitió la ejecución de malware durante instalaciones normales. Este caso evidencia que la confianza en dependencias open source también debe ir acompañada de visibilidad, monitoreo y validación constante.
Barracuda CloudGen Firewall
Barracuda CloudGen Firewall Mantenga su comunicación segura y libre de manipulaciones. Los datos se almacenan en un repositorio dedicado fuera de su entorno operativo, garantizando conservación a largo plazo sin riesgos de corrupción o eliminación accidental. Ofrece un conjunto completo de tecnologías de firewall de última generación para garantizar la protección de la red en tiempo real contra amenazas avanzadas.
