Alerta de Seguridad sobre Axios y Malware
Slow Fog ha alertado sobre lanzamientos maliciosos de Axios que incorporan el malware plain-crypto-js, exponiendo a los desarrolladores de criptomonedas a RATs multiplataforma y al robo de credenciales a través de npm. La firma de seguridad blockchain Slow Fog emitió un aviso de seguridad urgente tras la publicación reciente de las versiones axios@1.14.1 y axios@0.3.4, que incluían una dependencia maliciosa, plain-crypto-js, convirtiendo a uno de los clientes HTTP más utilizados de JavaScript en un arma de cadena de suministro contra los desarrolladores de criptomonedas.
Axios cuenta con más de 80 millones de descargas semanales en npm, lo que significa que incluso un compromiso de corta duración puede tener repercusiones en los backends de billeteras, bots de trading, intercambios e infraestructura DeFi construida sobre Node.js.
“Los usuarios que instalaron
axios@1.14.1a través denpm install -gestán potencialmente expuestos”,
recomendando una rotación inmediata de credenciales y una investigación exhaustiva del lado del host en busca de signos de compromiso.
Detalles del Ataque
El ataque se basa en un paquete de criptografía falso, plain-crypto-js, que se agrega silenciosamente como una nueva dependencia y se utiliza únicamente para ejecutar un script postinstall ofuscado que despliega un troyano de acceso remoto multiplataforma que apunta a sistemas Windows, macOS y Linux.
La firma de seguridad StepSecurity explicó que
“ninguna de las versiones maliciosas contiene una sola línea de código malicioso dentro de Axios en sí”
y que en su lugar
“ambas inyectan una dependencia falsa,
plain-crypto-js, cuyo único propósito es ejecutar un script postinstall que despliega un troyano de acceso remoto multiplataforma (RAT).”
El equipo de investigación de Socket señaló que el paquete malicioso plain-crypto-js fue publicado solo minutos antes del lanzamiento comprometido de Axios, describiéndolo como un “ataque coordinado a la cadena de suministro” contra el ecosistema de JavaScript.
Consecuencias y Recomendaciones
Según StepSecurity, los lanzamientos maliciosos de Axios fueron impulsados utilizando credenciales de npm robadas pertenecientes al mantenedor principal “jasonsaayman”, lo que permitió a los atacantes eludir el flujo de lanzamiento habitual basado en GitHub del proyecto.
“Es un compromiso de cadena de suministro en vivo en
axios@1.14.1, que ahora depende deplain-crypto-js—un paquete publicado horas antes e identificado como malware ofuscado que ejecuta comandos de shell y borra rastros,”
escribió el ingeniero de seguridad Julian Harris en LinkedIn.
npm ha eliminado ahora las versiones maliciosas y revertido la resolución de Axios a 1.14.0, pero cualquier entorno que haya descargado 1.14.1 o 0.3.4 durante la ventana de ataque sigue en riesgo hasta que se roten los secretos y se reconstruyan los sistemas.
Este compromiso recuerda incidentes anteriores de npm que apuntaron directamente a usuarios de criptomonedas, incluida una campaña de 2025 en la que 18 paquetes populares como chalk y debug intercambiaron silenciosamente direcciones de billetera para robar fondos, lo que llevó al CTO de Ledger, Charles Guillemet, a advertir que
“los paquetes afectados ya han sido descargados más de 1 mil millones de veces.”
Los investigadores también han documentado malware de npm robando claves de billeteras de Ethereum, XRP y Solana, y SlowMist ha estimado que los hacks y fraudes en criptomonedas —incluidos paquetes con puertas traseras y ataques a la cadena de suministro asistidos por IA— causaron más de $2.3 mil millones en pérdidas solo en la primera mitad de 2025.
Por ahora, el consejo de Slow Fog es claro: degradar Axios a 1.14.0, auditar las dependencias en busca de cualquier rastro de plain-crypto-js o openclaw, y asumir que cualquier credencial tocada por esos entornos está comprometida.
En una historia anterior de crypto.news sobre ataques a la cadena de suministro de JavaScript, Guillemet de Ledger advirtió que los paquetes de npm comprometidos con más de 2 mil millones de descargas semanales representaban un riesgo sistémico para dApps y billeteras construidas sobre Node.js. Otra historia detalló cómo el Grupo Lazarus de Corea del Norte plantó paquetes maliciosos de npm para comprometer entornos de desarrolladores y apuntar a usuarios de billeteras Solana y Exodus. Una tercera historia de crypto.news sobre malware de próxima generación mostró cómo los ataques de cadena de suministro con puertas traseras a través de npm y herramientas de IA de bajo costo ayudaron a los criminales a controlar de forma remota más de 4,200 máquinas de desarrolladores y contribuyeron a miles de millones de dólares en pérdidas de criptomonedas.
