Dos lanzamientos maliciosos de Axios npm han provocado advertencias para que los desarrolladores roten credenciales y traten los sistemas afectados como comprometidos después de que un ataque a la cadena de suministro envenenara la popular biblioteca cliente HTTP de JavaScript.

El compromiso fue reportado por primera vez por la empresa de ciberseguridad Socket, que dijo que axios@1.14.1 y axios@0.30.4 fueron modificados para incluir plain-crypto-js@4.2.1, una dependencia maliciosa que se ejecutaba automáticamente durante la instalación antes de que los lanzamientos fueran eliminados de npm.

Según la empresa de seguridad OX Security, el código alterado puede dar a los atacantes acceso remoto a dispositivos infectados, permitiéndoles robar datos sensibles como credenciales de inicio de sesión, claves de API e información de billeteras de criptomonedas.

El incidente muestra cómo un solo componente de código abierto comprometido puede potencialmente afectar a miles de aplicaciones que dependen de él, exponiendo no solo a los desarrolladores sino también a plataformas y usuarios conectados al sistema.

Las empresas de seguridad instan a la rotación de claves, auditorías de sistemas

OX Security advirtió a los desarrolladores que instalaron axios@1.14.1 o axios@0.30.4 que trataran sus sistemas como completamente comprometidos y que rotaran inmediatamente las credenciales, incluyendo claves API y tokens de sesión.

Socket dijo que las versiones comprometidas de Axios fueron modificadas para incluir una dependencia en plain-crypto-js@4.2.1, un paquete publicado poco antes del incidente y luego identificado como malicioso.

La empresa dijo que la dependencia fue configurada para ejecutarse automáticamente durante la instalación a través de un script de post-instalación, permitiendo a los atacantes ejecutar código en los sistemas objetivo sin interacción adicional del usuario.

Socket aconsejó a los desarrolladores que revisaran sus proyectos y archivos de dependencias para las versiones afectadas de Axios y el paquete asociado plain-crypto-js@4.2.1, y que eliminaran o retrocedieran cualquier versión comprometida de inmediato.

Los incidentes de criptografía anteriores destacan los riesgos de la cadena de suministro.

Incidentes de criptografía anteriores han mostrado cómo las violaciones en la cadena de suministro pueden escalar desde la información de desarrolladores robada hasta pérdidas de billeteras para el usuario.

El 3 de enero, el investigador onchain ZachXBT informó que “cientos” de billeteras en redes compatibles con la Máquina Virtual de Ethereum fueron drenadas en un ataque amplio que siphonó pequeñas cantidades de cada víctima.

El investigador de ciberseguridad Vladimir S. dijo que el incidente estaba potencialmente vinculado a una violación de diciembre que afectaba a Trust Wallet, lo que resultó en pérdidas de aproximadamente $7 millones en más de 2,500 billeteras.

Trust Wallet dijo más tarde que la violación podría haber originado de un compromiso en la cadena de suministro que involucraba paquetes de npm utilizados en su flujo de trabajo de desarrollo.

Revista: Nadie sabe si la criptografía cuántica segura funcionará.