Ataque a Axios: Versiones maliciosas en npm

La popular biblioteca JavaScript para HTTP, Axios, ha sido objeto de un sofisticado ataque a la cadena de suministro, según StepSecurity. El 30 de marzo de 2024, se identificaron dos versiones maliciosas de Axios (versiones 1.14.1 y 0.30.4) publicadas en npm. Estas versiones fueron subidas utilizando las credenciales comprometidas de un mantenedor principal de Axios, eludiendo los procesos de control de versiones de GitHub. El ataque inyectó una dependencia falsa, plain-crypto-js@4.2.1, que contiene un script postinstall que actúa como un troyano de acceso remoto (RAT) para macOS, Windows y Linux. El malware se autoelimina y reemplaza el archivo package.json para evadir la detección forense. Lo más preocupante es que no hay código malicioso dentro de Axios en sí mismo, lo que dificulta su detección. El ataque, meticulosamente planificado y ejecutado, incluyó la preparación de payloads y la manipulación de cuentas de correo electrónico. StepSecurity detectó el ataque a través de su AI Package Analyst y Harden-Runner, que identificó conexiones anómalas a un servidor de comando y control. Se ha programado una mesa redonda comunitaria el 1 de abril para discutir el incidente.