La biblioteca Axios sufre un ataque a la cadena de suministro, los hackers utilizan tokens npm robados para insertar troyanos remotos, afectando aproximadamente al 80% de los entornos en la nube.

Mensaje de Deep Tide TechFlow, 02 de abril, según informó VentureBeat, los atacantes robaron el token de acceso de npm del principal mantenedor de la biblioteca de clientes HTTP más popular de JavaScript, Axios, y utilizaron ese token para publicar dos versiones maliciosas que contenían troyanos de acceso remoto (RAT) multiplataforma (axios@1.14.1 y axios@0.30.4), con el objetivo de abarcar los sistemas macOS, Windows y Linux. Los paquetes maliciosos permanecieron en el registro de npm durante aproximadamente 3 horas y luego fueron retirados.

Según los datos de la empresa de seguridad Wiz, Axios tiene más de 100 millones de descargas semanales y está presente en cerca del 80% de los entornos en la nube y de código. La empresa de seguridad Huntress detectó las primeras infecciones en solo 89 segundos después del lanzamiento de los paquetes maliciosos y confirmó, durante la ventana de exposición, que al menos 135 sistemas habían sido comprometidos.

Cabe destacar que el proyecto de Axios ya había desplegado medidas de seguridad modernas como el mecanismo de publicación confiable con OIDC y pruebas de trazabilidad SLSA, pero los atacantes las eludieron por completo. La investigación descubrió que, mientras el proyecto configuraba OIDC, todavía conservaba un NPM_TOKEN tradicional y de larga duración, y que cuando ambos coexistían, npm priorizaba por defecto el token tradicional, lo que permitió a los atacantes completar la publicación sin necesidad de eludir OIDC.