Microsoft detalla los pasos para mitigar el compromiso de la cadena de suministro de Axios npm

Una biblioteca JavaScript ampliamente utilizada llamada Axios estuvo en el centro de un grave ataque a la cadena de suministro que salió a la luz el 31 de marzo de 2026. Se descubrió que dos versiones actualizadas del paquete npm de Axios (la versión 1.14.1 y la versión 0.30.4) contenían código malicioso creado para instalar silenciosamente software dañino en las máquinas de los desarrolladores, sin advertencia visible para los usuarios o equipos que los ejecutan.

Axios es uno de los paquetes de JavaScript más descargados del mundo y registra más de 70 millones de descargas cada semana. Los analistas de Microsoft Threat Intelligence identificaron la infraestructura que impulsa este ataque y la vincularon con Sapphire Sleet, un grupo de amenazas patrocinado por el estado de Corea del Norte activo desde al menos marzo de 2020. El ataque funcionó inyectando una dependencia falsa llamada plain-crypto-js@4.2.1 en las dos versiones comprometidas de Axios. Cualquier proyecto configurado para obtener automáticamente actualizaciones menores o parches para Axios se resolvería silenciosamente en la versión comprometida durante una instalación o actualización de rutina, ejecutando la cadena maliciosa sin requerir ningún paso adicional por parte del desarrollador.

Inyección silenciosa de dependencia: cómo el ataque pasó desapercibido En lugar de alterar el propio código fuente de Axios, el atacante incorporó Plain-crypto-js como una nueva dependencia que solo se activaba durante la instalación. La publicación Microsoft detalla los pasos para mitigar el compromiso de la cadena de suministro de Axios npm apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗