Recientemente, la biblioteca de JavaScript Axios fue objeto de un ataque que involucró la distribución de versiones maliciosas a través de su registro npm. Este ataque, llevado a cabo por el grupo UNC1069, conocido como CryptoCore, permite a los atacantes acceder a dispositivos comprometidos mediante un troyano de acceso remoto (RAT). Aunque el código malicioso no se infiltró en la versión oficial de Axios, se publicaron dos versiones contaminadas que se instalaban automáticamente en algunos proyectos.
Los atacantes comprometieron la cuenta de un mantenedor de Axios en npm, añadiendo dependencias maliciosas que permitían la instalación del RAT. Este ataque se llevó a cabo con precisión, ya que las versiones envenenadas fueron lanzadas casi 18 horas antes de que se detectara su actividad. Según la empresa de ciberseguridad StepSecurity, cada artefacto del ataque estaba diseñado para autodestruirse, comenzando a enviar datos al servidor del atacante en cuestión de segundos tras la instalación.
Es crucial destacar que los desarrolladores que utilizan Axios no se infectaron automáticamente, pero las versiones maliciosas podrían instalarse al ejecutar el comando npm install. Se aconseja a las empresas que identifiquen posibles exposiciones y evalúen si han sido comprometidas previamente, así como monitorear las salidas de datos de sus sistemas.