Article in deDeutsch Article in enEnglish Article in esEspañol Article in frFrançais Article in nlNederlands Article in ptPortuguês

Ataque norcoreano a Axios: Brecha cadena suministro | Ciberseguridad

0
0
Cripto 3 min read 0% read

Hackers norcoreanos comprometieron el paquete npm de Axios el 31 de marzo de 2026, afectando a miles de desarrolladores en un gran ataque a la cadena de suministro dirigido a sectores de criptomonedas y finanzas.

norcoreano-ataque-axios-ciberseguridad
Facebook X LinkedIn Bluesky WhatsApp
de flag en flag es flag fr flag nl flag pt flag

¿Qué es el ataque a la cadena de suministro de Axios?

En un importante incidente de ciberseguridad el 31 de marzo de 2026, hackers norcoreanos comprometieron el popular paquete npm de Axios, afectando a miles de desarrolladores y organizaciones en todo el mundo. El ataque involucró actores maliciosos que obtuvieron acceso a una cuenta de mantenedor durante tres horas y publicaron versiones troyanizadas (1.14.1 y 0.30.4) con una dependencia oculta 'plain-crypto-js' que desplegaba un troyano de acceso remoto (RAT) multiplataforma. Con más de 100 millones de descargas semanales, este es uno de los mayores compromisos de cadena de suministro recientes.

Cómo se desarrolló el ataque norcoreano

El grupo de amenazas norcoreano UNC1069, activo desde 2018, ejecutó el ataque con precisión. Según Mandiant de Google, comprometieron credenciales de npm y publicaron versiones maliciosas en una ventana de tres horas antes de su eliminación a las 03:29 UTC.

El mecanismo técnico

Los paquetes contenía una dependencia fantasma que ejecutaba un script postinstall, descargando el backdoor WAVESHAPER.V2, un RAT capaz de infectar Windows, macOS y Linux. El malware recolectaba credenciales de GitHub, claves API de nube, exfiltraba claves SSH y tokens npm, establecía conexiones persistentes y ejecutaba comandos arbitrarios. Su sofisticación sugiere capacidades estatales. 'Si no entras por la puerta principal, intentas por la trasera – y eso ocurre más a menudo,' dijo Jort Kollerie de Orange Cyberdefense.

Por qué Corea del Norte ataca las cadenas de suministro de software

Los hackers norcoreanos usan operaciones cibernéticas como fuente de ingresos para el régimen sancionado. Aproximadamente la mitad del programa de misiles se financia con robo digital, incluyendo robos de criptomonedas de miles de millones anuales. Este ataque sigue un patrón similar al ataque a la cadena de suministro de SolarWinds que afectó agencias gubernamentales. Al comprometer paquetes de código abierto, logran máximo impacto con mínimo esfuerzo.

Impacto y escala de la brecha

Hubo unas 600,000 instalaciones durante la ventana de ataque, afectando al 3% de usuarios de Axios. El NCSC de los Países Bajos emitió una advertencia urgente sobre acceso a datos de autenticación. Los efectos secundarios alcanzan sectores como atención médica, finanzas, criptomonedas y tecnología.

Cómo protegerse contra ataques a la cadena de suministro

Los expertos recomiendan auditar dependencias para versiones 1.14.1 o 0.30.4 y plain-crypto-js@4.2.1, rotar credenciales, fijar versiones, habilitar autenticación multifactor y monitorear tráfico de red. Considere implementar mejores prácticas de seguridad de la cadena de suministro de software como SBOM y períodos de enfriamiento de 7-14 días.

Implicaciones a largo plazo para la seguridad del código abierto

Este ataque revela vulnerabilidades en el ecosistema de código abierto, donde una cuenta comprometida afecta a millones. Se discute mejorar seguridad de cuentas, verificación de firmas, monitoreo y financiamiento. Como dijo Donner Bakker de BNR, miles de desarrolladores están infectados. El daño total puede tardar meses en evaluarse, con riesgo de ataques posteriores por años.

Preguntas frecuentes

¿Qué es Axios y por qué fue atacado?

Axios es un cliente HTTP para JavaScript con amplia adopción (más de 100M descargas semanales), ideal para ataques a la cadena de suministro.

¿Cómo puedo verificar si mi sistema fue afectado?

Revise archivos package-lock.json o yarn.lock para Axios 1.14.1 o 0.30.4 y plain-crypto-js@4.2.1, y registros de npm del 31 de marzo, 00:00-03:29 UTC.

¿Qué deben hacer inmediatamente las organizaciones afectadas?

Asuma compromiso total, rote todas las credenciales, realice escaneos de malware y audite sistemas con paquetes comprometidos.

¿Están en riesgo los usuarios finales de aplicaciones construidas con Axios?

Los usuarios finales no se ven afectados directamente, pero desarrolladores y entornos de construcción están en riesgo de robo de credenciales.

¿Cómo se pueden prevenir futuros ataques a la cadena de suministro?

Use fijación de dependencias, archivos de bloqueo con npm ci, firmas de paquetes, MFA para mantenedores, períodos de enfriamiento y herramientas como Socket.dev o Snyk.

Fuentes

The Hacker News: Google atribuye ataque a la cadena de suministro de NPM de Axios
CNN: Hackers norcoreanos ejecutan gran ataque a la cadena de suministro
Alerta del NCSC: Compromiso generalizado de la cadena de suministro
Snyk: Paquete NPM de Axios comprometido en ataque a la cadena de suministro
SecurityWeek: Paquete NPM de Axios violado en ataque norcoreano

Artículos relacionados

docker-contenedores-seguros-gratuitos
Tecnologia
Tecnologia

Docker hace gratuitas sus imágenes de contenedores seguras para todos

Docker hace que sus imágenes de contenedores aseguradas sean gratuitas y de código abierto, ofreciendo una reducción...

hackers-norcoreanos-crypto-identidades-falsas
Cripto
Cripto

Hackers norcoreanos infiltran proyectos crypto con identidades falsas

Hackers norcoreanos robaron $680,000 infiltrando proyectos de criptomonedas con identidades falsas y herramientas de...

ethereum-analisis-tecnico-2100-marzo-2026
Cripto
Cripto

Análisis ETH: Batalla en $2,100 | Marzo 2026

Ethereum enfrenta una batalla crítica en el nivel de $2,100 en marzo de 2026. El análisis técnico determina si puede...