Arturo TrenardAtaque de Cadena de Suministro Compromete la Librería Axios en npm, Urge Rotar Claves y Auditorías
Dos versiones de la popular librería JavaScript Axios fueron comprometidas en un ataque de cadena de suministro a través del registro npm, instando a los desarrolladores a tratar los sistemas afectados como totalmente vulnerados. Las firmas de seguridad Socket y OX Security alertan que las versiones maliciosas axios@1.14.1 y axios@0.30.4 incluían una dependencia que ejecutaba código para robar credenciales, claves API y datos de carteras de criptomonedas.
Detalles Técnicos y Alcance del Compromiso
El ataque se materializó en las versiones ya eliminadas del registro público de paquetes npm. Estas versiones fueron modificadas para incluir una dependencia maliciosa llamada `plain-crypto-js@4.2.1`. El mecanismo aprovechó un script `post-install`, que se ejecuta automáticamente durante la instalación, permitiendo que el código malicioso se activara sin interacción del usuario.
Impacto y Capacidades del Malware
Según el análisis de OX Security, el código alterado tiene la capacidad de otorgar a un atacante control remoto sobre el dispositivo infectado. Los datos en riesgo incluyen credenciales de inicio de sesión, claves API, tokens de sesión y, de manera crítica, información relacionada con carteras de criptomonedas. El riesgo se amplifica por la extrema popularidad de Axios como librería para realizar peticiones HTTP, lo que expone potencialmente a miles de aplicaciones que dependen de ella.
Recomendaciones de Seguridad Inmediatas
Acciones Urgentes para Desarrolladores
Las firmas de seguridad son contundentes: cualquier sistema que haya instalado las versiones comprometidas debe ser tratado como “totalmente comprometido”. La acción prioritaria es la rotación completa de todas las credenciales, claves API y tokens de sesión que pudieran haber estado almacenados en esos entornos. Paralelamente, se debe realizar una auditoría exhaustiva en busca de actividad sospechosa o indicios de exfiltración de datos.
Revisión de Dependencias y Limpieza
Los desarrolladores deben revisar urgentemente sus archivos de gestión de dependencias (`package.json`, `package-lock.json` o `yarn.lock`) en busca de referencias a `axios@1.14.1`, `axios@0.30.4` y `plain-crypto-js@4.2.1`. Socket recomienda eliminar estas versiones y revertir a una versión segura y verificada de Axios.
“La limpieza de las dependencias y la verificación de la integridad de los paquetes instalados es un paso crítico en la contención de este incidente”, señaló la empresa.
Contexto: Los Riesgos Sistémicos de la Cadena de Suministro
Lecciones de Incidentes Cripto Anteriores
Este ataque se produce en un contexto de creciente preocupación por la seguridad de la cadena de suministro en el ecosistema cripto. A principios de enero de 2026, el investigador onchain ZachXBT reportó un ataque a “cientos” de carteras en redes de Máquina Virtual de Ethereum (EVM). El investigador de ciberseguridad Vladimir S. ha señalado una potencial conexión con la brecha de seguridad que sufrió Trust Wallet en diciembre de 2025, la cual resultó en pérdidas estimadas en 7 millones de dólares afectando a más de 2,500 carteras. En su momento, Trust Wallet atribuyó el incidente a un “posible compromiso de paquetes npm”.
La Vulnerabilidad del Ecosistema Open-Source
Este incidente subraya una vulnerabilidad sistémica: la confianza en un único paquete de código abierto puede crear un efecto dominó de consecuencias masivas cuando este es comprometido. El ataque expone no solo a los desarrolladores que integran directamente la librería, sino también a las plataformas y, en última instancia, a los usuarios finales.
Conclusión y Perspectiva
El ataque a Axios representa un ejemplo sofisticado de cómo los actores maliciosos explotan la confianza en la cadena de suministro de software. La criticidad de seguir las recomendaciones de seguridad —rotación inmediata de claves y auditorías profundas— no puede ser sobrestimada, especialmente para proyectos que manejan activos digitales. El incidente sirve como un recordatorio urgente de la necesidad de implementar medidas más robustas de verificación, monitoreo proactivo y seguridad en la gestión de dependencias, un pilar fundamental tanto para el desarrollo web convencional como para el sector de las criptomonedas.
