Alerta: comprometen Axios en npm y cuelan un RAT vía dependencia en dos versiones
El Compromiso de Axios en npm ha encendido las alarmas en la cadena de suministro del ecosistema JavaScript: atacantes secuestraron la cuenta de un mantenedor y publicaron manualmente axios@1.14.1 y axios@0.30.4 con una dependencia ajena al proyecto para desplegar un remote-access trojan (RAT) multiplataforma. El incidente es especialmente relevante porque Axios se integra de forma masiva en front-end, back-end y pipelines de CI/CD, y el impacto potencial se amplifica por su volumen de descargas semanal.
Según los análisis publicados por investigadores del sector, los paquetes maliciosos llegaron al registro de npm antes de ser retirados. En lugar de modificar el código principal de Axios, los atacantes optaron por un vector más sigiloso: introducir una dependencia diseñada únicamente como mecanismo de entrega, activada mediante lógica de instalación.
Compromiso de Axios en npm: qué versiones y qué cambió
En este Compromiso de Axios en npm, las versiones señaladas fueron 1.14.1 y 0.30.4. El hallazgo clave es que las publicaciones no siguieron el flujo habitual del proyecto: se reporta que se realizaron desde la CLI de npm tras el control de la cuenta del mantenedor, lo que sugiere una evasión deliberada de controles asociados a CI/CD (por ejemplo, validaciones automatizadas y publicación desde pipelines).
Los informes indican que el actor cambió el correo de la cuenta a un buzón anónimo y ejecutó la publicación fuera de los mecanismos de automatización que muchos equipos asumen como “garantía” de integridad en proyectos críticos.
La dependencia maliciosa y el RAT multiplataforma
La carga se introdujo mediante una dependencia identificada como plain-crypto-js@4.2.1, descrita por los analistas como un componente sin función legítima para Axios. Su comportamiento se apoya en un flujo de múltiples etapas: un post-install que contacta con infraestructura remota, descarga un second-stage payload y despliega malware adaptado al sistema operativo detectado (macOS, Windows o Linux), con intentos de evasión y borrado de rastros para dificultar el análisis forense.
Las conclusiones de firmas de seguridad apuntan a una operación planificada: preparación previa de payloads por plataforma y ejecución en un intervalo corto sobre ramas/versiones distintas, una táctica consistente con campañas modernas de software supply chain enfocadas en maximizar alcance con mínima exposición.
Impacto para entornos de desarrollo y CI/CD
El riesgo del Compromiso de Axios en npm no se limita a estaciones de trabajo: si un pipeline de CI descargó estas versiones, existe la posibilidad de contaminación de artefactos, credenciales expuestas en el entorno de build, o persistencia temporal durante etapas de empaquetado. Dado el rol de Axios como dependencia transitiva en multitud de proyectos, el radio de impacto depende de si los equipos fijan versiones (pinning), usan lockfiles estrictos y aplican verificación adicional de procedencia.
Cronología técnica resumida del incidente
- Publicación en npm de axios@1.14.1 y axios@0.30.4 con una dependencia no relacionada con la librería.
- La dependencia ejecuta scripts de instalación y actúa como dropper de un RAT con payloads por OS.
- Las versiones afectadas se retiraron del registro tras la detección pública.
Fuentes y referencias de alta autoridad
El Compromiso de Axios en npm fue documentado por múltiples investigadores y proveedores de seguridad, incluyendo análisis públicos de StepSecurity y reportes técnicos de Socket. Para contexto sobre prácticas y políticas del ecosistema, puede consultarse la documentación oficial del registro en npm Docs.
Cierre: este Compromiso de Axios en npm refuerza una tendencia clara en ciberseguridad: los atacantes priorizan el robo de cuentas de mantenedores y la inserción de dependencias maliciosas como vía rápida para llegar a miles de entornos de desarrollo y automatización. Aunque los paquetes afectados fueron retirados, la exposición depende de qué equipos llegaron a instalarlos durante la ventana de disponibilidad.
