{"id":415,"date":"2026-03-31T16:38:11","date_gmt":"2026-03-31T16:38:11","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/31\/el-ataque-a-la-herramienta-de-desarrollo-de-software-axios-amenaza-con-compromisos-generalizados\/"},"modified":"2026-03-31T16:38:11","modified_gmt":"2026-03-31T16:38:11","slug":"el-ataque-a-la-herramienta-de-desarrollo-de-software-axios-amenaza-con-compromisos-generalizados","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/31\/el-ataque-a-la-herramienta-de-desarrollo-de-software-axios-amenaza-con-compromisos-generalizados\/","title":{"rendered":"El ataque a la herramienta de desarrollo de software axios amenaza con compromisos generalizados"},"content":{"rendered":"
\n

Un hacker entreg\u00f3 brevemente malware esta semana a trav\u00e9s de un popular proyecto de c\u00f3digo abierto para desarrolladores de software que tiene aproximadamente 100 millones de descargas semanales, lo que aumenta la posibilidad de que los compromisos se propaguen ampliamente a trav\u00e9s de un ataque a la cadena de suministro.<\/p>\n

Axios es una biblioteca cliente de JavaScript que se utiliza en solicitudes web. El atacante desconocido secuestr\u00f3 la cuenta npm (npm es un administrador de paquetes para JavaScript) del principal mantenedor de axios y luego public\u00f3 versiones maliciosas de axios con troyanos de acceso remoto en npm. Eso sucedi\u00f3 el domingo por la noche hasta el lunes por la ma\u00f1ana, empresa de ciberseguridad. Cazadora<\/a> dijo, antes de que se sacaran las versiones envenenadas.<\/p>\n

Aikido<\/a>otra empresa de seguridad, lo calific\u00f3 como \u00abuno de los ataques a la cadena de suministro de npm m\u00e1s impactantes jam\u00e1s registrados\u00bb. Los investigadores de un gran n\u00famero de empresas cibern\u00e9ticas han hecho sonar las alarmas sobre el ataque, entre ellas Paso de seguridad<\/a>, Enchufe<\/a>, Laboratorios Endor<\/a> y otros.<\/p>\n

Seg\u00fan Step Security, las versiones maliciosas \u201caxios@1.14.1\u201d y \u201caxios@0.30.4\u201d inyectan una nueva dependencia de software, Plain-crypto-js@4.2.1, que act\u00faa como cargador del malware. Est\u00e1 dirigido a dispositivos MacOS, Windows y Linux.<\/p>\n

Pero, aunque los investigadores lo describen como malware, se\u00f1alan que \u00abno hay l\u00edneas de c\u00f3digo malicioso dentro del propio axios\u00bb. M\u00e1s bien, el software simplemente funciona seg\u00fan lo dise\u00f1ado o redise\u00f1ado.<\/p>\n

\u201cAmbas versiones envenenadas inyectan una dependencia falsa\u2026 nunca importada a ninguna parte de la fuente de axios, cuyo \u00fanico prop\u00f3sito es ejecutar un [post installation] script que implementa un troyano de acceso remoto multiplataforma\u201d, escribi\u00f3 Ashish Kurmi, director de tecnolog\u00eda y fundador de Step Security.<\/p>\n

Feross Aboukhadijeh, director ejecutivo y fundador de Socket, calific\u00f3 la situaci\u00f3n como \u201cun compromiso vivo\u201d con un amplio radio potencial de explosi\u00f3n.<\/p>\n

\u00abEste es un software malicioso instalador de la cadena de suministro de libros de texto\u00bb, Aboukhadijeh escribi\u00f3 el lunes X por la noche<\/a>y agrega sobre las versiones maliciosas que \u00abCada instalaci\u00f3n de npm que extrae la \u00faltima versi\u00f3n est\u00e1 potencialmente comprometida en este momento\u00bb.<\/p>\n

El paquete de software introducido por las versiones maliciosas de axios tiene cargas \u00fatiles integradas que evaden los m\u00e9todos est\u00e1ticos de an\u00e1lisis de ciberseguridad y confunden a los revisores humanos, y elimina y cambia el nombre de los artefactos para destruir la evidencia forense.<\/p>\n

Aboukhadijeh dio consejos contundentes a cualquiera que haya descargado o usado axios al menos durante la semana pasada.<\/p>\n

\u00abSi usa axios, fije su versi\u00f3n inmediatamente y audite sus archivos de bloqueo\u00bb, escribi\u00f3. \u00abNo actualice\u00bb.<\/p>\n

Kurmi describi\u00f3 el ataque como de \u201cprecisi\u00f3n\u201d, y se\u00f1al\u00f3 que la dependencia maliciosa se realiz\u00f3 con menos de 24 horas de anticipaci\u00f3n y que ambas versiones maliciosas fueron envenenadas en la misma hora. <\/p>\n

Dado el per\u00edodo de tiempo durante el cual las versiones maliciosas de axios estuvieron en l\u00ednea, eso podr\u00eda traducirse en aproximadamente 600.000 descargas, dijo Joshua Wright, miembro de la facultad del Instituto SANS y director t\u00e9cnico senior de Counter Hack Innovations. <\/p>\n

\u00abEsa es una gran cantidad de compromisos, y tan pronto como se instala el software, se eliminan las credenciales de acceso, por lo que ahora los actores de amenazas podr\u00edan recurrir a AWS y a otros paquetes de GitHub a trav\u00e9s de claves de GitHub eliminadas, y esa es la parte que es realmente dif\u00edcil de articular\u00bb, dijo a CyberScoop, advirtiendo que las consecuencias podr\u00edan extenderse durante semanas. \u00abVamos a ver m\u00e1s y m\u00e1s historias sobre personas que se dan cuenta de que han sido violadas, ya que hoy est\u00e1n tratando de descubrir cu\u00e1l es el impacto de eso\u00bb.<\/p>\n

El ataque sigue de cerca a otros casos de segmentaci\u00f3n orientada al desarrollador<\/a>.<\/p>\n