{"id":423,"date":"2026-04-01T10:00:29","date_gmt":"2026-04-01T10:00:29","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/01\/google-atribuye-el-ataque-a-la-cadena-de-suministro-de-axios-npm-al-grupo-norcoreano-unc1069-cyberdefensa-mx\/"},"modified":"2026-04-01T10:00:29","modified_gmt":"2026-04-01T10:00:29","slug":"google-atribuye-el-ataque-a-la-cadena-de-suministro-de-axios-npm-al-grupo-norcoreano-unc1069-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/01\/google-atribuye-el-ataque-a-la-cadena-de-suministro-de-axios-npm-al-grupo-norcoreano-unc1069-cyberdefensa-mx\/","title":{"rendered":"Google atribuye el ataque a la cadena de suministro de Axios npm al grupo norcoreano UNC1069 \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Google tiene atribuido formalmente<\/a> el compromiso de la cadena de suministro del popular paquete Axios npm con un grupo de actividades de amenazas de Corea del Norte con motivaci\u00f3n financiera rastreado como UNC1069<\/strong>.<\/p>\n

\u00abHemos atribuido el ataque a un presunto actor de amenazas norcoreano al que rastreamos como UNC1069\u00bb, dijo John Hultquist, analista jefe de Google Threat Intelligence Group (GTIG), a The Hacker News en un comunicado.<\/p>\n

\u00abLos piratas inform\u00e1ticos norcoreanos tienen una profunda experiencia con ataques a la cadena de suministro, que hist\u00f3ricamente han utilizado para robar criptomonedas. La magnitud total de este incidente a\u00fan no est\u00e1 clara, pero dada la popularidad del paquete comprometido, esperamos que tenga impactos de gran alcance\u00bb.<\/p>\n

El desarrollo se produce despu\u00e9s de que los actores de amenazas tomaron el control de la cuenta npm del mantenedor del paquete para impulsar dos versiones troyanizadas 1.14.1 y 0.30.4 que introdujeron una dependencia maliciosa llamada \u00abplain-crypto-js\u00bb que se utiliza para ofrecer una puerta trasera multiplataforma capaz de infectar sistemas Windows, macOS y Linux.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

En lugar de introducir cambios de c\u00f3digo en Axios, el ataque aprovecha un enlace posterior a la instalaci\u00f3n dentro del archivo \u00abpackage.json\u00bb de la dependencia maliciosa para lograr una ejecuci\u00f3n sigilosa. Una vez instalado el paquete Axios comprometido, npm activa autom\u00e1ticamente la ejecuci\u00f3n de c\u00f3digo malicioso en segundo plano.<\/p>\n

Espec\u00edficamente, el paquete \u00abplain-crypto-js\u00bb funciona como un \u00abveh\u00edculo de entrega de carga \u00fatil\u00bb para un cuentagotas de JavaScript ofuscado denominado SILKBELL (\u00absetup.js\u00bb), que recupera la siguiente etapa apropiada de un servidor remoto basado en el sistema operativo de la v\u00edctima.<\/p>\n

Como detall\u00f3 anteriormente The Hacker News, la rama de ejecuci\u00f3n de Windows ofrece malware PowerShell, un binario C++ Mach-O para macOS y una puerta trasera Python para sistemas Linux. El cuentagotas tambi\u00e9n realiza una limpieza para eliminarse y reemplazar el archivo \u00abpackage.json\u00bb del paquete \u00abplain-crypto-js\u00bb con una versi\u00f3n limpia que no tiene el enlace postinstalaci\u00f3n.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Fuente de la imagen: Laboratorios de seguridad el\u00e1stica<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Se considera que la puerta trasera, con nombre en c\u00f3digo WAVESHAPER.V2, es una versi\u00f3n actualizada de WAVESHAPER, una puerta trasera C++ implementada por UNC1069 en ataques dirigidos al sector de las criptomonedas. El actor de amenazas ha estado operativo desde 2018. Los v\u00ednculos del ataque a la cadena de suministro con UNC1069 fueron se\u00f1alados por primera vez por Elastic Security Labs, citando superposiciones de funcionalidad.<\/p>\n

Las tres variantes de WAVESHAPER.V2 admiten cuatro comandos diferentes, mientras se dirigen al servidor de comando y control (C2) en intervalos de 60 segundos:<\/p>\n