✨︎ Resumen (TL;DR):
- Google descubrió que el grupo norcoreano UNC1069 secuestró la popular librería de JavaScript para instalar troyanos.
- Axios registra 100 millones de descargas semanales y está presente en el 80% de los entornos de software en la nube.
- El malware robó contraseñas de bases de datos y tokens de API durante una ventana crítica de tres horas.
Un grupo de hackers de Corea del Norte logró vulnerar Axios, una de las librerías JavaScript más utilizadas del mundo. Durante la madrugada del 31 de marzo, los atacantes tomaron el control de la cuenta del mantenedor principal e inyectaron código diseñado para instalar troyanos de acceso remoto en sistemas Windows, macOS y Linux.
Google Threat Intelligence Group identificó rápidamente a los responsables. UNC1069 es un grupo de hackers norcoreanos con motivación financiera que opera activamente desde 2018. Los expertos rastrearon el ataque al detectar el uso del backdoor actualizado WAVESHAPER.V2.
Los delincuentes secuestraron la cuenta del mantenedor principal de Axios, Jason Saayman, cambiando su correo de recuperación a una dirección de ProtonMail. Esto les permitió publicar las versiones comprometidas 1.14.1 y 0.30.4 en el registro npm entre las 00:21 y la 01:00 UTC.
En lugar de modificar el código fuente de Axios, inyectaron una dependencia fantasma llamada plain-crypto-js. Este paquete activaba silenciosamente un script que descargaba payloads maliciosos y luego borraba sus propios rastros para dificultar la detección.
El impacto: 100 millones de descargas en riesgo
La firma de ciberseguridad Socket detectó la anomalía en apenas seis minutos. Para las 03:29 UTC, las versiones infectadas ya habían sido eliminadas de npm. Sin embargo, el riesgo corporativo es alto debido a la escala del software.
De acuerdo con la empresa de seguridad en la nube Wiz, el alcance de la librería es masivo:
- Registra cerca de 100 millones de descargas semanales.
- Se encuentra en el 80% de los entornos de código a nivel global.
- Las versiones maliciosas fueron observadas en el 3% de los sistemas monitoreados por Wiz.
Huntress, otra compañía del sector, confirmó tener más de cien computadoras y servidores afectados. Cualquier sistema que ejecutó una instalación automatizada en ese lapso de tres horas dejó expuestas contraseñas, llaves de acceso en la nube y tokens de API.
“La magnitud total de este incidente aún no está clara, pero dada la popularidad del paquete comprometido, esperamos que tenga impactos de gran alcance”, declararon los investigadores en un reporte publicado por CyberScoop.
Los especialistas de seguridad exigen a los equipos de desarrollo revisar sus lockfiles de inmediato, aislar los hosts vulnerados y rotar de manera obligatoria todas las credenciales corporativas expuestas durante esa ventana.
