{"id":14296,"date":"2026-03-31T14:42:30","date_gmt":"2026-03-31T14:42:30","guid":{"rendered":"https:\/\/satoshibrother.com\/es\/slow-fog-advierte-a-los-desarrolladores-sobre-una-campana-de-malware-en-axios\/"},"modified":"2026-03-31T14:42:30","modified_gmt":"2026-03-31T14:42:30","slug":"slow-fog-advierte-a-los-desarrolladores-sobre-una-campana-de-malware-en-axios","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/es\/slow-fog-advierte-a-los-desarrolladores-sobre-una-campana-de-malware-en-axios\/","title":{"rendered":"Slow Fog advierte a los desarrolladores sobre una campa\u00f1a de malware en Axios"},"content":{"rendered":"<h2>Alerta de Seguridad sobre Axios y Malware<\/h2>\n<p><strong>Slow Fog<\/strong> ha alertado sobre lanzamientos maliciosos de <strong>Axios<\/strong> que incorporan el malware <em>plain-crypto-js<\/em>, exponiendo a los desarrolladores de criptomonedas a <strong>RATs multiplataforma<\/strong> y al robo de credenciales a trav\u00e9s de <strong>npm<\/strong>. La firma de seguridad blockchain Slow Fog emiti\u00f3 un aviso de seguridad urgente tras la publicaci\u00f3n reciente de las versiones <code>axios@1.14.1<\/code> y <code>axios@0.3.4<\/code>, que inclu\u00edan una dependencia maliciosa, <code>plain-crypto-js<\/code>, convirtiendo a uno de los clientes HTTP m\u00e1s utilizados de JavaScript en un arma de cadena de suministro contra los desarrolladores de criptomonedas.<\/p>\n<p>Axios cuenta con m\u00e1s de <strong>80 millones de descargas semanales<\/strong> en npm, lo que significa que incluso un compromiso de corta duraci\u00f3n puede tener repercusiones en los backends de billeteras, bots de trading, intercambios e infraestructura DeFi construida sobre <strong>Node.js<\/strong>.<\/p>\n<blockquote><p>\u201cLos usuarios que instalaron <code>axios@1.14.1<\/code> a trav\u00e9s de <code>npm install -g<\/code> est\u00e1n potencialmente expuestos\u201d,<\/p><\/blockquote>\n<p>recomendando una rotaci\u00f3n inmediata de credenciales y una investigaci\u00f3n exhaustiva del lado del host en busca de signos de compromiso.<\/p>\n<h2>Detalles del Ataque<\/h2>\n<p>El ataque se basa en un paquete de criptograf\u00eda falso, <code>plain-crypto-js<\/code>, que se agrega silenciosamente como una nueva dependencia y se utiliza \u00fanicamente para ejecutar un script <em>postinstall<\/em> ofuscado que despliega un <strong>troyano de acceso remoto multiplataforma<\/strong> que apunta a sistemas <strong>Windows<\/strong>, <strong>macOS<\/strong> y <strong>Linux<\/strong>.<\/p>\n<p>La firma de seguridad <strong>StepSecurity<\/strong> explic\u00f3 que <\/p>\n<blockquote><p>\u201cninguna de las versiones maliciosas contiene una sola l\u00ednea de c\u00f3digo malicioso dentro de Axios en s\u00ed\u201d<\/p><\/blockquote>\n<p> y que en su lugar <\/p>\n<blockquote><p>\u201cambas inyectan una dependencia falsa, <code>plain-crypto-js<\/code>, cuyo \u00fanico prop\u00f3sito es ejecutar un script postinstall que despliega un troyano de acceso remoto multiplataforma (RAT).\u201d<\/p><\/blockquote>\n<p>El equipo de investigaci\u00f3n de <strong>Socket<\/strong> se\u00f1al\u00f3 que el paquete malicioso <code>plain-crypto-js<\/code> fue publicado solo minutos antes del lanzamiento comprometido de Axios, describi\u00e9ndolo como un <strong>\u201cataque coordinado a la cadena de suministro\u201d<\/strong> contra el ecosistema de JavaScript.<\/p>\n<h2>Consecuencias y Recomendaciones<\/h2>\n<p>Seg\u00fan StepSecurity, los lanzamientos maliciosos de Axios fueron impulsados utilizando credenciales de npm robadas pertenecientes al mantenedor principal <strong>\u201cjasonsaayman\u201d<\/strong>, lo que permiti\u00f3 a los atacantes eludir el flujo de lanzamiento habitual basado en GitHub del proyecto. <\/p>\n<blockquote><p>\u201cEs un compromiso de cadena de suministro en vivo en <code>axios@1.14.1<\/code>, que ahora depende de <code>plain-crypto-js<\/code>\u2014un paquete publicado horas antes e identificado como malware ofuscado que ejecuta comandos de shell y borra rastros,\u201d<\/p><\/blockquote>\n<p>escribi\u00f3 el ingeniero de seguridad <strong>Julian Harris<\/strong> en LinkedIn.<\/p>\n<p><strong>npm<\/strong> ha eliminado ahora las versiones maliciosas y revertido la resoluci\u00f3n de Axios a <code>1.14.0<\/code>, pero cualquier entorno que haya descargado <code>1.14.1<\/code> o <code>0.3.4<\/code> durante la ventana de ataque sigue en riesgo hasta que se roten los secretos y se reconstruyan los sistemas.<\/p>\n<p>Este compromiso recuerda incidentes anteriores de npm que apuntaron directamente a usuarios de criptomonedas, incluida una campa\u00f1a de 2025 en la que 18 paquetes populares como <code>chalk<\/code> y <code>debug<\/code> intercambiaron silenciosamente direcciones de billetera para robar fondos, lo que llev\u00f3 al CTO de <strong>Ledger<\/strong>, <strong>Charles Guillemet<\/strong>, a advertir que <\/p>\n<blockquote><p>\u201clos paquetes afectados ya han sido descargados m\u00e1s de 1 mil millones de veces.\u201d<\/p><\/blockquote>\n<p>Los investigadores tambi\u00e9n han documentado malware de npm robando claves de billeteras de <strong>Ethereum<\/strong>, <strong>XRP<\/strong> y <strong>Solana<\/strong>, y <strong>SlowMist<\/strong> ha estimado que los hacks y fraudes en criptomonedas \u2014incluidos paquetes con puertas traseras y ataques a la cadena de suministro asistidos por IA\u2014 causaron m\u00e1s de <strong>$2.3 mil millones<\/strong> en p\u00e9rdidas solo en la primera mitad de 2025.<\/p>\n<p>Por ahora, el consejo de Slow Fog es claro: <strong>degradar Axios a 1.14.0<\/strong>, auditar las dependencias en busca de cualquier rastro de <code>plain-crypto-js<\/code> o <code>openclaw<\/code>, y asumir que cualquier credencial tocada por esos entornos est\u00e1 comprometida.<\/p>\n<p>En una historia anterior de crypto.news sobre ataques a la cadena de suministro de JavaScript, Guillemet de Ledger advirti\u00f3 que los paquetes de npm comprometidos con m\u00e1s de <strong>2 mil millones de descargas semanales<\/strong> representaban un riesgo sist\u00e9mico para dApps y billeteras construidas sobre Node.js. Otra historia detall\u00f3 c\u00f3mo el <strong>Grupo Lazarus<\/strong> de Corea del Norte plant\u00f3 paquetes maliciosos de npm para comprometer entornos de desarrolladores y apuntar a usuarios de billeteras <strong>Solana<\/strong> y <strong>Exodus<\/strong>. Una tercera historia de crypto.news sobre malware de pr\u00f3xima generaci\u00f3n mostr\u00f3 c\u00f3mo los ataques de cadena de suministro con puertas traseras a trav\u00e9s de npm y herramientas de IA de bajo costo ayudaron a los criminales a controlar de forma remota m\u00e1s de <strong>4,200 m\u00e1quinas<\/strong> de desarrolladores y contribuyeron a miles de millones de d\u00f3lares en p\u00e9rdidas de criptomonedas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Alerta de Seguridad sobre Axios y Malware Slow Fog ha alertado sobre lanzamientos maliciosos de Axios que incorporan el malware plain-crypto-js, exponiendo a los desarrolladores de criptomonedas a RATs multiplataforma y al robo de credenciales a trav\u00e9s de npm. La firma de seguridad blockchain Slow Fog emiti\u00f3 un aviso de seguridad urgente tras la publicaci\u00f3n reciente de las versiones axios@1.14.1 y axios@0.3.4, que inclu\u00edan una dependencia maliciosa, plain-crypto-js, convirtiendo a uno de los clientes HTTP m\u00e1s utilizados de JavaScript en un arma de cadena de suministro contra los desarrolladores de criptomonedas. Axios cuenta con m\u00e1s de 80 millones de descargas<\/p>\n","protected":false},"author":3,"featured_media":14295,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[8421,13,200,65,71,1089,72,8,2732,115],"class_list":["post-14296","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-charles-guillemet","tag-ethereum","tag-exodus","tag-hack","tag-lazarus","tag-ledger","tag-north-korea","tag-ripple","tag-slowmist","tag-solana"],"yoast_description":"Slow Fog advierte a los desarrolladores sobre una campa\u00f1a de malware en Axios, exponiendo sistemas de criptomonedas a RATs y robo de credenciales a trav\u00e9s de paquetes de npm.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/14296","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/comments?post=14296"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/14296\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media\/14295"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media?parent=14296"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/categories?post=14296"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/tags?post=14296"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}