ESTOY BAJO UN CIBER ATAQUE

Alerta

Alerta 2026-31 Paquetes maliciosos en Axios publicados por NPM

Producto(s) afectado(s): 

  • Las versiones maliciosas de axios comprometidas en el ataque de cadena de suministro son 1.14.1 y 0.30.4.

Descripción

Un sofisticado ataque a la cadena de suministro ha tenido como objetivo a Axios, uno de los clientes HTTP más utilizados dentro del ecosistema JavaScript, mediante la introducción de una dependencia transitiva maliciosa en el registro oficial de npm.

Las versiones afetadas fueron 1.14.1 y 0.30.4. y las mismas se han publicado el 30 de marzo de 2026 mediante la cuenta npm comprometida del mantenedor principal «jasonsaayman», quien cambió su email a uno de ProtonMail controlado por el atacante.


Inyectan una dependencia oculta «plain-crypto-js@4.2.1», que ejecuta un script postinstall para desplegar un RAT (Remote Access Trojan) multiplataforma en macOS, Windows y Linux.


El malware contacta un servidor C2, descarga payloads secundarios, se ejecuta y se auto-elimina, reemplazando su package.json para evadir detección.

Mitigación:

Las librerías comprometidas afectan a quienes ejecutaron «npm install» en esas versiones durante ~2 horas; npm las removió después.


La recomendación es: reviertir axios a 1.14.0 ó a 0.30.3, revisa lockfiles/package-lock.json, cambia credenciales y escanea sistemas.

Comandos Básicos:

# Ver versión instalada de axios
npm list axios
# Buscar específicamente las versiones comprometidas
npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4"
# Buscar en package-lock.json (NPM)
grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4"
# Buscar en yarn.lock (Yarn)
grep -E 'axios@' yarn.lock | grep -E "1\.14\.1|0\.30\.4"
# Buscar el paquete RAT oculto
ls node_modules | grep plain-crypto-js || echo "No encontrado"
# Verificar postinstall scripts sospechosos
grep -r "postinstall" node_modules/axios/ 2>/dev/null || echo "Sin scripts postinstall"


Monitorea repositorios y usa herramientas como Snyk o npm audit para vulnerabilidades futuras.

Paquete comprometidoVersionDependencia maliciosa
Axios1.14.1plain-crypto-js@4.2.1 
Axios0.30.4plain-crypto-js@4.2.1 
plain-crypto-js4.2.1Primary Malicious Payload 

A continuación listamos, algunos de los paquetes mas conocidos que dependen de axios, es importante revisar el package-lock.json :

  • auth0
  • alchemy-sdk
  • @tavily/core
  • @slack/web-api
  • aws-crt
  • contentful-management
  • @coinbase/cdp-sdk
  • postmark –
  • @sap-cloud-sdk/core
  • fastmcp
  • mcp-proxy
  • swagger-client
  • wagmi
  • gatsby
  • wait-on
  • posthog-node

Información adicional:

Descargar PDF

ESTAMOS AQUÍ PARA AYUDARTE

¿Estás sufriendo un ciberataque?

Denúncialo aquí

recibe las últimas alertas en tu bandeja de entrada

Suscríbete a nuestro boletín

Somos un grupo de profesionales altamente capacitados con sede en I+D, con conocimientos técnicos avanzados y experiencia en la detección, análisis, contención y recuperación de incidentes de seguridad.

Somos un CSIRT, somos Cybolt.

ESTOY SUFRIENDO UN CIBERATAQUE

Explora

Servicios

Mantente informado

© 2024. Beacon Lab CSIRT, Política de privacidad