Un ataque cibernético ha comprometido la seguridad de Axios, una de las librerías más populares del ecosistema JavaScript, utilizada por millones de desarrolladores en todo el mundo. El atacante secuestró la cuenta del responsable principal del software y publicó versiones maliciosas que instalaban un troyano de acceso remoto en Windows, macOS y Linux.

Detalles del ataque

El atacante consiguió acceso a la cuenta npm de jasonsaayman, el responsable principal de Axios, y cambió su correo electrónico asociado a una dirección bajo su control. Con esas credenciales, publicó dos versiones maliciosas del paquete, la 1.14.1 y la 0.30.4, en un intervalo de apenas 39 minutos.

El ataque no ha sido improvisado. Dieciocho horas antes de la publicación de las versiones maliciosas de Axios, el atacante publicó también una versión limpia en el registro de npm para que hubiese antecedentes y no saltaran alarmas automatizadas.

Versiones maliciosas y alcance del ataque

Las versiones con el código malicioso llegaron justo antes de medianoche del domingo, en la franja horaria que maximizaba el tiempo de exposición antes de que los responsables pudieran reaccionar. La empresa de seguridad Huntress detectó al menos 135 sistemas contactando con el servidor del atacante durante aproximadamente tres horas antes de ser eliminadas.

En cada uno de ellos, el troyano realizaba un reconocimiento completo del sistema (directorios, procesos activos, unidades de disco) y enviaba esa información al servidor remoto. Axios está presente en aproximadamente el 80% de los entornos en la nube, y un 3% de los entornos afectados llegaron a ejecutar las versiones comprometidas.