Noticias

El ataque a la cadena de suministro de Axios socava la confianza en npm

por Pieter Arntz | 31, 2026 de marzo
El logotipo del cliente HTTP Axios, que consiste simplemente en la palabra «AXIOS» escrita en color morado

Los investigadores descubrieron que las versiones vulnerables de Axios instalaban un troyano de acceso remoto.

Axios es un cliente HTTP basado en promesas para Node.js, básicamente una herramienta auxiliar que los desarrolladores utilizan entre bastidores para permitir que las aplicaciones se comuniquen con Internet. Por ejemplo, Axios hace que solicitudes como «recoger mis mensajes del servidor» o «enviar este formulario al sitio web» resulten más sencillas y fiables para los programadores, y les evita tener que escribir ellos mismos gran cantidad de código de red de bajo nivel.

Dado que funciona tanto en el navegador como en servidores (Node.js), muchos proyectos modernos basados en JavaScript lo incluyen como componente básico. Aunque nunca instales Axios por tu cuenta, es posible que te encuentres con él de forma indirecta cuando:

  • Utiliza aplicaciones web desarrolladas con marcos de trabajo como React, Vue o Angular.
  • Utiliza aplicaciones móviles o de escritorio desarrolladas con tecnologías web como Electron, React Native y otras.
  • Echa un vistazo a las herramientas de software como servicio (SaaS) más pequeñas, los paneles de administración o los servicios autohospedados creados por desarrolladores que han elegido Axios.

Se podría comparar con las tuberías de tu casa. Normalmente no te fijas en las tuberías, pero son las que llevan el agua hasta el grifo que abres. Y no necesitas saber dónde están hasta que se produce una fuga.

¿Qué ha pasado?

Aprovechando las credenciales comprometidas de uno de los principales mantenedores de Axios, un atacante publicó paquetes maliciosos en npm: axios@1.14.1 y axios@0.30.4. Las versiones maliciosas introducen una nueva dependencia, plain-crypto-js@4.2.1, que no se importa en ninguna parte del código fuente de Axios. 

En conjunto, los dos paquetes afectados alcanzan hasta 100 millones de descargas semanales en npm, lo que significa que tienen un enorme alcance en aplicaciones web, servicios y flujos de trabajo.

Es importante señalar que la versión de Axios afectada no aparece en las etiquetas oficiales de GitHub del proyecto. Esto significa que las personas y los proyectos afectados son aquellos desarrolladores y entornos que ejecutaron «npm install» y obtuvieron como resultado:

  • axios@1.14.1 axios@0.30.4o
  • la dependencia plain-crypto-js@4.2.1.

Cualquier flujo de trabajo que haya instalado una de esas versiones con los scripts habilitados podría haber expuesto todos los datos confidenciales inyectados (claves de la nube, claves de implementación del repositorio, tokens de npm, etc.) a un atacante interactivo, ya que el script de postinstalación (node setup.js) que se ejecuta automáticamente al instalar npm descargaba un dropper ofuscado que recupera una carga útil RAT específica para cada plataforma: macOS, Windows o Linux.

Si eres un desarrollador que utiliza Axios, considera que cualquier equipo en el que se hayan instalado las versiones afectadas está potencialmente comprometido en su totalidad y cambia las claves secretas. El atacante podría haber obtenido acceso al repositorio, claves de firma, claves de API u otros datos confidenciales que podrían utilizarse para introducir puertas traseras en futuras versiones o para atacar tu backend y a tus usuarios.

Los usuarios de aplicaciones desarrolladas con Axios no tienen motivos directos para preocuparse. Si solo estás ejecutando tu aplicación en un navegador, no estás ejecutando directamente este RAT a través de Axios. La vía de infección se produce durante la fase de instalación o compilación, no durante la ejecución de la aplicación.

Indicadores de compromiso (IOC)

Tal y como señalaron los investigadores, el dropper de malware borra sus propios rastros:

«Cualquier revisión posterior a la infección del archivo node_modules/plain-crypto-js/package.json mostrará un manifiesto completamente limpio. No hay ningún script de postinstalación, ni archivo setup.js, ni indicios de que se haya instalado nada malicioso. Ni la ejecución de npm audit ni la revisión manual del directorio del paquete instalado revelarán la intrusión».

Lo que puedes buscar, por tanto, son estos IOC:

Dominio: sfrclak[.]com

Dirección IP: 142.11.206.73

(ambos bloqueados por Malwarebytes )

Archivos:

  • macOS: /Library/Caches/com.apple.act.mond
  • Linux: /tmp/ld.py 
  • Windows: %PROGRAMDATA%\wt y %TEMP%\6202033.vbs/.ps1, que solo existen brevemente durante la ejecución

Paquetes npm maliciosos:

axios@1.14.1, suma de comprobación SHA-256: 2553649f2322049666871cea80a5d0d6adc700ca

axios@0.30.4, suma de comprobación SHA-256: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71

plain-crypto-js@4.2.1, suma de comprobación SHA-256: 07d889e2dadce6f3910dcbc253317d28ca61c766

No nos limitamos a informar de las amenazas: las eliminamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

Noticias
Protección Clickfix mac

Una nueva función de seguridad de macOS alertará a los usuarios sobre posibles ataques de ClickFix

Marzo 30, 2026

Apple ha incorporado una capa adicional de protección contra los ataques ClickFix, disponible únicamente para macOS Tahoe 26.4 y versiones posteriores

Noticias
semana de la seguridad

Una semana en el mundo de la seguridad (del 23 al 29 de marzo)

Marzo 30, 2026

Una lista de los temas que tratamos durante la semana del 23 al 29 de 2026

Móvil
teléfono en la nube con una máscara

Los delincuentes alquilan teléfonos virtuales para eludir los sistemas de seguridad de los bancos

Marzo 27, 2026

No es un teléfono de verdad, pero es lo suficientemente bueno como para engañar a tu banco. Los investigadores advierten de que los delincuentes están utilizando dispositivos virtuales para eludir los controles antifraude.

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas