Uno de los paquetes JavaScript más descargados del ecosistema npm, Axios —con alrededor de 100 millones de descargas semanales— ha sido víctima de un ataque a la cadena de suministro de software cuidadosamente orquestado. La investigación vincula el incidente con una campaña de ingeniería social altamente dirigida, atribuida al grupo norcoreano UNC1069 (BlueNoroff), conocido por operaciones contra el sector de las criptomonedas.
Ingeniería social avanzada: cómo comprometieron al mantenedor de Axios
El vector principal no fue una vulnerabilidad técnica en el código, sino la comprometida de las credenciales del mantenedor mediante un proceso de ingeniería social en varias fases. Los atacantes se hicieron pasar por el fundador de una empresa real y de gran notoriedad, clonando su identidad digital y la imagen corporativa de la organización.
Para reforzar la credibilidad, se creó un espacio de trabajo falso en Slack, con logotipos, canales temáticos y referencias a publicaciones legítimas de LinkedIn. Este entorno simulaba una comunicación corporativa auténtica, reduciendo la desconfianza habitual frente a contactos no solicitados.
El siguiente paso fue invitar al desarrollador a una reunión en Microsoft Teams. Durante la videollamada, apareció en pantalla un supuesto mensaje del sistema indicando un problema con un componente desactualizado del equipo del desarrollador. Al aceptar instalar la supuesta actualización, se descargó y ejecutó de forma silenciosa un troyano de acceso remoto (RAT), otorgando a los atacantes control sobre la estación de trabajo.
Del acceso remoto al paquete npm trojanizado
Con el acceso remoto consolidado, los atacantes pudieron robar las credenciales de npm utilizadas para publicar nuevas versiones de Axios. Aprovechando estos permisos legítimos, liberaron dos versiones maliciosas del paquete —1.14.1 y 0.30.4— que incorporaban un componente dañino identificado como WAVESHAPER.V2.
Según los análisis de empresas como Huntress y Kaspersky, esta operación replica casi punto por punto la campaña GhostCall, atribuida a UNC1069 / BlueNoroff. Inicialmente, esta táctica se dirigía principalmente a fundadores de proyectos cripto, fondos de capital riesgo y figuras públicas; ahora el foco se desplaza con claridad hacia mantenedores de grandes proyectos open source, capaces de impactar miles de aplicaciones a través de dependencias.
Riesgos para la seguridad de la cadena de suministro en la ecosistema JavaScript
En el desarrollo moderno, las aplicaciones JavaScript suelen depender de decenas o cientos de paquetes de npm. Axios se ha convertido en un estándar de facto para realizar peticiones HTTP tanto en frontend como en backend, lo que amplifica el impacto potencial de cualquier compromiso.
En un ataque a la cadena de suministro, el atacante no apunta directamente a la organización final, sino a un eslabón intermedio de confianza: el proveedor de software, el repositorio o, como en este caso, el mantenedor del paquete. El código malicioso puede propagarse de forma masiva a través de dependencias transitivas, es decir, bibliotecas que incluyen Axios y que, a su vez, son usadas por otras aplicaciones. Esto hace que la superficie real de impacto sea extremadamente difícil de medir.
Diversos estudios de la industria coinciden en que más del 80–90 % del código de una aplicación típica proviene de componentes open source. En este contexto, repositorios centrales como npm se convierten en objetivos de alto valor, y la confianza implícita en las actualizaciones automáticas crea condiciones favorables para ataques de gran escala cuando se compromete la cadena de publicación.
Respuesta del proyecto Axios y refuerzo de la seguridad de publicación
Tras detectar el incidente, el equipo de Axios anunció varias medidas de contención y mejora de la seguridad que sirven como referencia para otros proyectos:
Reinicio completo de dispositivos y credenciales. Se reinstalaron equipos y se regeneraron las cuentas críticas (npm y otros accesos sensibles) para eliminar cualquier persistencia del atacante y reducir el riesgo de nuevas intrusiones.
Adopción de “releases inmutables”. Una vez publicada una versión del paquete, ya no puede modificarse retroactivamente. Este enfoque limita la posibilidad de manipular artefactos ya distribuidos y mejora la trazabilidad de cambios.
Uso de OIDC para publicar paquetes. La migración hacia un flujo OIDC sustituye los tokens estáticos por credenciales efímeras y acotadas en tiempo y alcance, reduciendo drásticamente el valor de un token robado.
Endurecimiento de GitHub Actions y CI/CD. Se revisaron las canalizaciones de integración y entrega continua aplicando principios de mínimo privilegio, validación estricta de artefactos y restricciones en los contextos de ejecución de workflows automatizados.
Medidas recomendadas para desarrolladores y organizaciones
Este incidente refuerza la necesidad de tratar las cuentas de publicación y los mantenedores open source como activos de alto valor. Entre las prácticas recomendadas destacan: activar autenticación multifactor (MFA) con llaves de seguridad FIDO2 para todas las cuentas críticas; limitar los permisos de los sistemas de CI/CD al mínimo necesario; centralizar la publicación a través de pipelines automatizados controlados; y monitorizar de forma continua patrones anómalos de publicación.
También resulta clave implantar herramientas de análisis de composición de software (SCA), generar y mantener listas de materiales de software (SBOM), fijar versiones con ficheros de bloqueo (lockfiles) y someter las dependencias a revisiones periódicas. Finalmente, la formación en ingeniería social avanzada —incluyendo escenarios con espacios de trabajo falsos, videollamadas y mensajes de actualización simulados— debe integrarse en los programas de concienciación en ciberseguridad.
El ataque contra Axios evidencia que incluso proyectos maduros y masivamente adoptados pueden convertirse en vectores de un ataque de cadena de suministro cuando se compromete la confianza en sus mantenedores. Reforzar los procesos de desarrollo, publicación y gestión de dependencias ya no es opcional: es un requisito para cualquier organización que dependa de open source. Invertir hoy en seguridad de la cadena de suministro de software reducirá significativamente la probabilidad de que el próximo paquete comprometido termine en producción.
