La biblioteca Axios sufre un ataque a la cadena de suministro, los hackers utilizan tokens npm robados para insertar troyanos remotos, afectando aproximadamente al 80% del entorno en la nube.

Noticia de Deep Tide TechFlow, 02 de abril, según informó VentureBeat, los atacantes robaron el token de acceso de npm del principal mantenedor de la biblioteca de clientes HTTP más popular de JavaScript, Axios, y usaron ese token para publicar dos versiones maliciosas que incluían troyanos de acceso remoto (RAT) multiplataforma (axios@1.14.1 y axios@0.30.4), con el objetivo de cubrir los sistemas macOS, Windows y Linux. Los paquetes maliciosos permanecieron en el registro de npm durante aproximadamente 3 horas antes de ser eliminados.

Según datos de la empresa de seguridad Wiz, Axios tiene más de 100 millones de descargas semanales y está presente en alrededor del 80% de entornos en la nube y de código. La empresa de seguridad Huntress detectó las primeras infecciones apenas 89 segundos después de la publicación de los paquetes maliciosos y, durante la ventana de exposición, confirmó al menos 135 sistemas comprometidos.

Cabe destacar que, anteriormente, el proyecto de Axios ya había desplegado medidas de seguridad modernas como un mecanismo de publicación confiable OIDC y pruebas de trazabilidad SLSA, pero los atacantes se saltaron por completo esas defensas. La investigación descubrió que, mientras el proyecto configuraba OIDC, aún conservaba un NPM_TOKEN tradicional de larga duración; cuando ambos coexistían, npm por defecto daba prioridad al token tradicional, lo que permitió al atacante completar la publicación sin necesidad de vulnerar OIDC.