
Actualización 31 de marzo de 2026, 1:28 pm UTC: Este artículo ha sido actualizado para incluir comentarios de Abdelfattah Ibrahim, ingeniero sénior de seguridad ofensiva en Hacken.
Dos versiones maliciosas de Axios npm han provocado advertencias para que los desarrolladores roten credenciales y traten los sistemas afectados como comprometidos, después de que un ataque a la cadena de suministro envenenara la popular biblioteca cliente HTTP de JavaScript.
El compromiso fue reportado inicialmente por la compañía de ciberseguridad Socket, que afirmó que [email protected] y [email protected] fueron modificados para incluir [email protected], una dependencia maliciosa que se ejecutó automáticamente durante la instalación antes de que las versiones fueran eliminadas de npm.
Según la compañía de seguridad OX Security, el código alterado puede dar a los atacantes acceso remoto a los dispositivos infectados, permitiéndoles robar datos sensibles como credenciales de inicio de sesión, claves API e información de monederos de criptomonedas.
El incidente demuestra cómo un único componente de código abierto comprometido puede potencialmente repercutir en miles de aplicaciones que dependen de él, exponiendo no solo a los desarrolladores, sino también a las plataformas y a los usuarios conectados al sistema.
OX Security advirtió a los desarrolladores que instalaron [email protected] o [email protected] que trataran sus sistemas como totalmente comprometidos y que rotaran inmediatamente las credenciales, incluidas las claves API y los tokens de sesión.
Socket afirmó que las versiones comprometidas de Axios fueron modificadas para incluir una dependencia de [email protected], un paquete publicado poco antes del incidente y posteriormente identificado como malicioso.
Relacionado: La extensión de navegador de Trust Wallet fue desconectada por un ‘bug’ de Chrome Store, dice su CEO
La compañía dijo que la dependencia estaba configurada para ejecutarse automáticamente durante la instalación a través de un script posterior a la instalación, lo que permitía a los atacantes ejecutar código en los sistemas objetivo sin interacción adicional del usuario.
Socket aconsejó a los desarrolladores que revisaran sus proyectos y archivos de dependencia en busca de las versiones de Axios afectadas y el paquete asociado [email protected], y que eliminaran o revirtieran cualquier versión comprometida de inmediato.
Abdelfattah Ibrahim, ingeniero sénior de seguridad ofensiva en Hacken, dijo a Cointelegraph que el compromiso podría tener serias implicaciones para las aplicaciones relacionadas con criptomonedas que dependen de Axios para operaciones de backend.
“Es una mala noticia para las dapps y las aplicaciones que manejan criptomonedas porque Axios juega un papel enorme en las llamadas a la API”, dijo, señalando que los sistemas afectados podrían incluir integraciones de exchanges, verificaciones de saldo de monederos y transmisiones de transacciones.
Ibrahim dijo que el malware implementado en el ataque funciona como un troyano de acceso remoto completo, permitiendo a los atacantes interactuar directamente con los sistemas comprometidos. Añadió que el incidente destaca una debilidad más amplia en la forma en que se manejan los riesgos de la cadena de suministro.
Incidentes cripto anteriores han demostrado cómo las brechas en la cadena de suministro pueden escalar desde información de desarrolladores robada hasta pérdidas de monederos que afectan a los usuarios.
El 3 de enero, el investigador on-chain ZachXBT informó que “cientos” de monederos en redes compatibles con Ethereum Virtual Machine fueron vaciados en un ataque amplio que sustrajo pequeñas cantidades de cada víctima.
El investigador de ciberseguridad Vladimir S. dijo que el incidente estaba potencialmente relacionado con una brecha de diciembre que afectó a Trust Wallet, la cual resultó en aproximadamente 7 millones de dólares en pérdidas en más de 2,500 monederos.
Trust Wallet dijo más tarde que la brecha podría haberse originado en un compromiso de la cadena de suministro que involucraba paquetes npm utilizados en su flujo de trabajo de desarrollo.
Revista: Nadie sabe si la criptografía cuántica segura funcionará