Los piratas informáticos utilizan el paquete Axios envenenado y la dependencia fantasma para difundir malware multiplataforma

Una de las bibliotecas de JavaScript más utilizadas en el mundo se convirtió en un arma el 30 de marzo de 2026, cuando los atacantes envenenaron el paquete npm de Axios e implementaron malware silenciosamente en máquinas de desarrolladores que ejecutaban Windows, macOS y Linux. Con más de 100 millones de descargas semanales, Axios es el cliente HTTP más popular en el ecosistema JavaScript, lo que convierte este ataque a la cadena de suministro en uno de los incidentes de mayor alcance de su tipo.

El ataque comenzó cuando un actor no autorizado obtuvo el control de la cuenta npm que pertenece a Jason Saayman, el principal mantenedor del proyecto Axios. Utilizando un token de acceso npm robado, el atacante publicó manualmente dos versiones envenenadas (axios@1.14.1 y axios@0.30.4) con 39 minutos de diferencia entre sí, cubriendo tanto la rama de versión actual como la heredada. Ninguna versión tiene ninguna confirmación, etiqueta o versión coincidente en el repositorio oficial de Axios GitHub. Ambas versiones envenenadas contenían una nueva adición al manifiesto de su paquete: Plain-crypto-js@4.2.1, una dependencia fantasma.

Este paquete nunca se importó ni se hizo referencia a él en ninguna parte del código fuente de Axios (en los 86 archivos) y existió únicamente para activar el enlace automático de postinstalación de npm durante la instalación. La publicación Los piratas informáticos utilizan el paquete Axios envenenado y la dependencia fantasma para difundir malware multiplataforma apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗