{"id":450,"date":"2026-04-03T13:07:39","date_gmt":"2026-04-03T13:07:39","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/03\/unc1069-la-ingenieria-social-del-mantenedor-de-axios-provoco-un-ataque-a-la-cadena-de-suministro-de-npm-cyberdefensa-mx\/"},"modified":"2026-04-03T13:07:39","modified_gmt":"2026-04-03T13:07:39","slug":"unc1069-la-ingenieria-social-del-mantenedor-de-axios-provoco-un-ataque-a-la-cadena-de-suministro-de-npm-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/03\/unc1069-la-ingenieria-social-del-mantenedor-de-axios-provoco-un-ataque-a-la-cadena-de-suministro-de-npm-cyberdefensa-mx\/","title":{"rendered":"UNC1069 La ingenier\u00eda social del mantenedor de Axios provoc\u00f3 un ataque a la cadena de suministro de npm \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

El responsable del paquete Axios npm ha confirmado que el compromiso de la cadena de suministro fue el resultado de una campa\u00f1a de ingenier\u00eda social muy espec\u00edfica orquestada por actores de amenazas norcoreanos rastreados como UNC1069.<\/p>\n

mantenedor Jason Saayman <\/b>dijo que los atacantes adaptaron sus esfuerzos de ingenier\u00eda social \u00abespec\u00edficamente a m\u00ed\u00bb, acerc\u00e1ndose primero a \u00e9l bajo la apariencia del fundador de una empresa leg\u00edtima y conocida.<\/p>\n

\u00abHab\u00edan clonado la imagen de los fundadores de la empresa y la propia empresa\u00bb, Saayman dicho<\/a> en una autopsia del incidente. \u00abLuego me invitaron a un espacio de trabajo real de Slack. Este espacio de trabajo ten\u00eda la marca del CI de la empresa y un nombre plausible. [workspace] fue pensado muy bien; Ten\u00edan canales donde compart\u00edan publicaciones de LinkedIn\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Posteriormente, se dice que los actores de amenazas programaron una reuni\u00f3n con \u00e9l en Microsoft Teams. Al unirse a la llamada falsa, se le present\u00f3 un mensaje de error falso que dec\u00eda \u00abalgo en mi sistema no estaba actualizado\u00bb. Tan pronto como se activ\u00f3 la actualizaci\u00f3n, el ataque provoc\u00f3 la implementaci\u00f3n de un troyano de acceso remoto.<\/p>\n

El acceso proporcionado por el troyano permiti\u00f3 a los atacantes robar las credenciales de la cuenta npm necesarias para publicar dos versiones troyanizadas del paquete Axios npm (1.14.1 y 0.30.4) que contiene un implante llamado WAVESHAPER.V2.<\/p>\n

\u00abTodo estuvo muy bien coordinado, parec\u00eda leg\u00edtimo y se hizo de manera profesional\u00bb, a\u00f1adi\u00f3 Saayman.<\/p>\n

La cadena de ataque descrita por el responsable del proyecto comparte amplias superposiciones con las t\u00e9cnicas asociadas con UNC1069 y BlueNoroff. Los detalles de la campa\u00f1a fueron documentados extensamente por Huntress y Kaspersky el a\u00f1o pasado, y este \u00faltimo la rastre\u00f3 bajo el nombre de GhostCall.<\/p>\n

\u00abHist\u00f3ricamente, [\u2026] Estos tipos espec\u00edficos han perseguido a los fundadores de criptomonedas, capitalistas de riesgo y personas p\u00fablicas\u00bb, dijo el investigador de seguridad Taylor Monahan. \u00abEllos ingeniero social<\/a> ellos y hacerse cargo de sus cuentas y apuntar a la siguiente ronda de personas. Esta evoluci\u00f3n hacia la focalizaci\u00f3n [OSS maintainers] es un poco preocupante en mi opini\u00f3n.\u00bb<\/p>\n

Como medidas preventivas, Saayman ha descrito varios cambios, incluido el restablecimiento de todos los dispositivos y credenciales, la configuraci\u00f3n de versiones inmutables, la adopci\u00f3n del flujo OIDC para la publicaci\u00f3n y la actualizaci\u00f3n de GitHub Actions para adoptar las mejores pr\u00e1cticas.<\/p>\n

Los hallazgos demuestran c\u00f3mo los mantenedores de proyectos de c\u00f3digo abierto se est\u00e1n convirtiendo cada vez m\u00e1s en el objetivo de ataques sofisticados, lo que permite de manera efectiva que los actores de amenazas apunten a usuarios intermedios a gran escala mediante la publicaci\u00f3n de versiones envenenadas de paquetes muy populares.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Dado que Axios atrae casi 100 millones de descargas semanales y se utiliza mucho en todo el ecosistema de JavaScript, el radio de explosi\u00f3n de un ataque de este tipo a la cadena de suministro puede ser enorme, ya que se propaga r\u00e1pidamente a trav\u00e9s de dependencias directas y transitivas.<\/p>\n

\u00abUn paquete tan ampliamente utilizado como Axios que est\u00e1 comprometido muestra lo dif\u00edcil que es razonar sobre la exposici\u00f3n en un entorno JavaScript moderno\u00bb, Ahmad Nassri de Socket dicho<\/a>. \u00abEs una propiedad de c\u00f3mo funciona hoy la resoluci\u00f3n de dependencias en el ecosistema\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

El responsable del paquete Axios npm ha confirmado que el compromiso de la cadena de suministro fue el resultado de una campa\u00f1a de ingenier\u00eda social muy espec\u00edfica orquestada por actores de amenazas norcoreanos rastreados como UNC1069. mantenedor Jason Saayman dijo que los atacantes adaptaron sus esfuerzos de ingenier\u00eda social \u00abespec\u00edficamente a m\u00ed\u00bb, acerc\u00e1ndose primero a […]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[181,1418,249,24,70,1534,1541,277,1542,1535,250,1454],"class_list":["post-450","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-ataque","tag-axios","tag-cadena","tag-cyberdefensa-mx","tag-del","tag-ingenieria","tag-mantenedor","tag-npm","tag-provoco","tag-social","tag-suministro","tag-unc1069"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/450","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=450"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/450\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=450"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=450"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=450"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}