El popular paquete JavaScript Axios sufrió un incidente de seguridad en cadena de suministro el 31 de marzo de 2026, cuando dos versiones maliciosas (1.14.1 y 0.30.4) fueron publicadas en el registro npm. Estas versiones inyectaron una dependencia maliciosa, plain-crypto-js@4.2.1, que instalaba un troyano de acceso remoto (RAT) en sistemas macOS, Windows y Linux. Las versiones comprometidas permanecieron disponibles durante aproximadamente tres horas antes de ser retiradas. El ataque se originó a través de una campaña de ingeniería social dirigida contra el principal mantenedor del proyecto, que le permitió acceder a las credenciales de su cuenta npm. Como medida de remediación, se eliminaron las versiones maliciosas del registro npm, se restablecieron todos los dispositivos y credenciales del mantenedor principal, y se están implementando mejoras de seguridad adicionales, incluyendo un flujo de autenticación OIDC para la publicación y una configuración de lanzamiento inmutable. Los usuarios que hayan utilizado las versiones afectadas deben degradar a versiones anteriores, eliminar la dependencia maliciosa, rotar las credenciales y revisar los registros de red en busca de actividad sospechosa. El incidente destaca la necesidad de una mayor vigilancia y seguridad para los mantenedores de proyectos de código abierto de alto impacto.
Noticias agregadas con IA