Compromiso de Axios npm: guía de mitigación
Resumen
Microsoft advirtió que las versiones maliciosas de Axios npm 1.14.1 y 0.30.4 se usaron en un ataque a la cadena de suministro atribuido a Sapphire Sleet. Las organizaciones que usan los paquetes afectados deben rotar secretos de inmediato, volver a versiones seguras y revisar los endpoints de desarrollo y sistemas CI/CD en busca de compromiso.
Introducción
Microsoft ha revelado un grave compromiso de la cadena de suministro de npm que afecta a Axios, una de las bibliotecas HTTP de JavaScript más utilizadas. Debido a que Axios se instala habitualmente en estaciones de trabajo de desarrolladores y pipelines de CI/CD, este incidente tiene amplias implicaciones para la seguridad de la cadena de suministro de software en entornos Windows, macOS y Linux.
Qué ocurrió
Se publicaron dos versiones maliciosas del paquete Axios el 31 de marzo de 2026:
Según Microsoft Threat Intelligence, estas versiones añadieron una dependencia maliciosa, [email protected], que ejecutaba un script post-install durante npm install o las actualizaciones del paquete. El hook de instalación se comunicaba con una infraestructura controlada por el actor y descargaba una segunda etapa de un remote access trojan (RAT).
Microsoft atribuye la campaña a Sapphire Sleet, un actor estatal de Corea del Norte.
Detalles técnicos clave
- Según se informa, el código fuente de Axios no fue modificado.
- El comportamiento malicioso se introdujo mediante una técnica de inserción de dependencias.
- Los entornos afectados incluyeron endpoints de desarrolladores y sistemas CI/CD.
- Las cargas útiles se adaptaron según el sistema operativo:
- Windows: RAT basado en PowerShell con persistencia mediante la clave Run del registro
- macOS: Binario nativo depositado en
/Library/Caches - Linux/otros: Cargas útiles posteriores específicas de la plataforma
- El malware se comunicaba con infraestructura maliciosa conocida vinculada a Sapphire Sleet.
Por qué esto importa para los equipos de TI y seguridad
Este ataque pone de relieve cómo los paquetes open-source de confianza pueden convertirse en armas sin cambios evidentes en la aplicación. Aunque las aplicaciones parezcan funcionar con normalidad, el compromiso puede producirse durante la instalación, lo que permite a los atacantes robar secretos, establecer persistencia y avanzar más profundamente en entornos empresariales.
Para los administradores, los mayores riesgos son:
- Credenciales y tokens de desarrolladores comprometidos
- Secretos expuestos en sistemas de compilación
- Ejecución de malware en agentes de CI/CD
- Persistencia en dispositivos Windows administrados
Acciones recomendadas
Las organizaciones que instalaron las versiones afectadas de Axios deben actuar de inmediato:
- Volver a versiones seguras de Axios:
1.14.00.30.3
- Rotar secretos y credenciales que puedan haber quedado expuestos.
- Deshabilitar las actualizaciones automáticas de los paquetes de Axios hasta verificar que los entornos estén limpios.
- Inspeccionar los sistemas de desarrollo y compilación en busca de indicios de compromiso, especialmente mecanismos de persistencia y ejecución sospechosa de scripts.
- Usar las detecciones de Microsoft Defender y la guía de hunting del aviso de Microsoft para identificar componentes maliciosos y hosts afectados.
Conclusión
El compromiso de Axios npm es un recordatorio de que la gestión de paquetes y los pipelines de CI/CD son ahora superficies de ataque primarias. Los equipos de seguridad deben tratar las instalaciones afectadas como posibles compromisos de endpoints y credenciales, no solo como un problema de paquetes.
¿Necesita ayuda con Security?
Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.
Hablar con un expertoManténgase actualizado sobre tecnologías Microsoft