Un ataque a la cadena de suministro de software afectó el ecosistema JavaScript mediante la inclusión de una dependencia maliciosa en versiones específicas del paquete Axios publicado en NPM. En particular, las versiones 1.14.1 y 0.30.4 incorporaron de forma encubierta el paquete plain-crypto-js, lo que permitió la posible instalación de la puerta trasera WAVESHAPER.V2 durante el proceso de instalación del paquete.
Este comportamiento impacta sistemas Windows, macOS y Linux, y representa un riesgo significativo, ya que puede comprometer dispositivos de desarrolladores, servidores y pipelines CI/CD que utilicen Axios como dependencia.
Productos afectados
| Producto | Versiones afectadas | Plataformas/SO |
|---|---|---|
| Axios (paquete NPM) | 1.14.1, 0.30.4 | Windows, macOS, Linux |
Solución
Actualizar a versiones seguras verificadas del paquete Axios, evitando específicamente las versiones comprometidas (1.14.1 y 0.30.4), y utilizando versiones previas conocidas como seguras o versiones oficiales posteriores una vez validadas como confiables.
Recomendaciones
Evitar el uso de las versiones afectadas y verificar archivos de bloqueo para identificar la presencia de plain-crypto-js (versiones 4.2.0 y 4.2.1). En caso de posible compromiso, tratar los sistemas como inseguros, reconstruirlos o revertirlos, y rotar credenciales sensibles. Adicionalmente, se recomienda pausar temporalmente pipelines CI/CD afectados, limpiar cachés de gestores de paquetes (npm, yarn, pnpm), bloquear tráfico hacia dominios maliciosos relacionados y monitorear procesos sospechosos en aplicaciones Node.js.
Referencias
- North Korean Hackers Compromise Widely Used Axios Package to Infect Windows, macOS, and Linux Systems – Cyber Security News
- https://thehackernews.com/2026/03/axios-supply-chain-attack-pushes-cross.html
- https://www.tenable.com/blog/supply-chain-attack-on-axios-npm-package-scope-impact-and-remediations