Hackean paquete npm de Axios e inyectan malware RAT

Hackean paquete npm de Axios e inyectan malware RAT

Hackers comprometen el paquete npm de Axios e infectan a desarrolladores con un troyano RAT. Descubre cómo protegerte.

Por Humberto Toledo el 31 marzo, 2026 a las 00:17 PDT

Seguir en

Resume con:

✨︎ Resumen (TL;DR):

  • Un atacante tomó el control de la cuenta npm del creador de Axios y publicó dos versiones infectadas.
  • Axios registra alrededor de 83 millones de descargas semanales, convirtiendo esto en un ataque masivo.
  • El malware instala silenciosamente un troyano en equipos macOS, Windows y Linux para robar credenciales.

Un atacante comprometió la cuenta de npm del mantenedor principal de Axios, la popular librería HTTP de JavaScript, para publicar versiones que instalan un troyano de acceso remoto (RAT). El hackeo ocurrió la noche del 30 de marzo y expuso de inmediato a miles de desarrolladores de software.

Axios registra aproximadamente 83 millones de descargas semanales, lo que perfila este incidente como uno de los ataques de cadena de suministro más graves en la historia de npm. Las firmas de seguridad Socket y StepSecurity detectaron el código malicioso en minutos.

El atacante robó las credenciales del desarrollador jasonsaayman, cambió el correo de la cuenta a una dirección de ProtonMail y publicó manualmente las versiones infectadas: axios@1.14.1 y axios@0.30.4. Esta maniobra eludió por completo el flujo automatizado de GitHub Actions CI/CD que el proyecto usa normalmente.

IA inunda código abierto con falsos reportes de seguridad
Te podría interesar:
IA inunda código abierto con falsos reportes de seguridad
** Una mano oscura manipula una estructura arquitectónica de software para insertar un elemento malicioso.
** Una mano oscura manipula una estructura arquitectónica de software para insertar un elemento malicioso.

Cómo operó el ataque silencioso

Un ataque de cadena de suministro es una técnica de cibercrimen donde los atacantes comprometen herramientas, librerías o dependencias de terceros para infiltrarse indirectamente en los sistemas de sus usuarios finales.

En lugar de alterar el código fuente de Axios, el atacante inyectó una dependencia falsa llamada plain-crypto-js@4.2.1. Su único objetivo era ejecutar un script postinstall estructurado en dos fases:

  • Usó cadenas invertidas, descifrado XOR y Base64 para ocultar sus operaciones.
  • Contactó al servidor externo sfrclak.com:8000 para descargar payloads específicos diseñados para macOS, Windows y Linux.
  • Una vez completada la infección, el script se autodestruyó y borró su rastro del archivo package.json, volviéndose invisible en la carpeta node_modules.

El equipo de seguridad de npm eliminó ambas versiones de Axios y la dependencia maliciosa. También identificaron el mismo malware operando bajo los paquetes @shadanai/openclaw y @qqbrowser/openclaw-qbot@0.0.130.

El investigador de seguridad Alon Gal advirtió en LinkedIn que este es el sexto ataque importante en casi dos semanas, sumándose a los hackeos de Trivy, Checkmarx KICS, LiteLLM y Telnyx. Gal sugirió que estos eventos están vinculados mediante malware tipo infostealer que recolectó credenciales de desarrolladores en ataques previos.

Si instalaste alguna versión afectada durante esta ventana, debes degradar tu sistema inmediatamente a axios@1.14.0 o axios@0.30.3. Además, considera comprometidas y rota todas tus contraseñas, tokens de npm, llaves SSH y credenciales de AWS.

Fuentes: 1, 2, 3, 4

+ Temas Relacionados

Más de Programación

Últimas noticias

Ver más noticias