Ataque a la cadena de suministro NPM de Axios: Guía y Solución en Español

Entre el 30 y hoy 31 de marzo de 2026, Axios y NPM sufren ataque importante para el ecosistema tech. La librería HTTP que amamos en melt, y usamos en algunos de nuestros proyectos, fue hackeada, ocurrió un secuestro de la cuenta de uno de sus mantenedores y colaron un malware silencioso en las versiones 1.14.1 y 0.30.4... Acá te contamos cómo lo arreglamos como startup:

¿Cómo sucedió exactamente el ataque a la cadena de suministro NPM de Axios?

La popular biblioteca de JavaScript Axios sufrió recientemente un grave ataque a la cadena de suministros NPM de Axios que comprometió las versiones 1.14.1 y 0.30.4 de esta popular librería, exponiendo a millones de aplicaciones a un troyano de acceso remoto (RAT). Esta brecha introdujo una dependencia oculta llamada:

plain-crypto-js

Esta utiliza un script de post-instalación para desplegar un troyano de acceso remoto (RAT) en sistemas Windows, Linux y macOS. El malware está diseñado para robar datos confidenciales, como claves API y variables de entorno, al tiempo que establece un control remoto persistente sobre las estaciones de trabajo de los desarrolladores infectadas y los procesos de CI/CD.

Cuando un desarrollador o pipeline CI/CD instala las versiones comprometidas 1.14.1 o 0.30.4, npm descarga silenciosamente la dependencia fantasma plain-crypto-js, que incluye un script configurado en la fase de postinstall. Es decir, tan pronto como termine, se ejecuta el archivo malicioso setup.js, que identifica tu sistema operativo (Windows, macOS o Linux) y descarga un Troyano de Acceso Remoto específico para tu máquina. Este RAT roba archivos .env, tokens de API, claves privadas SSH y credenciales AWS. Y una vez que el malware ejecuta su payload o carga útil, elimina los artefactos de su propia instalación de la carpeta node_modules y reemplaza package.json por una versión "limpia".

El ataque a la cadena de suministro NPM de Axios: 6 pasos para blindar tu empresa

• Revisa inmediatamente si tú o alguien del equipo instaló las versiones 1.14.1 o 0.30.4, y pásalas a una versión estable y fíjalas a esa versión.
  

• Busca actividad inusual en tus sistemas y rastros del malware con el siguiente comando: npm audit y evita las que dicen moderate o high, haciendo fix (sin el force) como en el sgt screenshot:

npm audit

Como también en los archivos de programa C:\ProgramData\wt.exe en Windows, /tmp/ld.py en Linux, o /Library/Caches/com.apple.act.mond en macOS.

• Apaga los scripts de instalación (postinstall). La mayoría de estos ataques ocurren porque npm ejecuta scripts automáticamente al descargar dependencias. Corta esto de raíz configurando npm con las banderas de forma global:

--ignore-scripts 
y 
--allow-git=none 

Si algún paquete legítimo necesita ejecutar un script, apruébalo tú de forma manual y auditable. Pon un "cadenero" en tu terminal: usa npq o Socket Firewall (sfw).

• Implementa el "Enfriamiento" (Cooldown) de paquetes donde los maliciosos suelen ser detectados y borrados por la comunidad en pocas horas o días y un retraso en tu gestor de paquetes (usa la configuración min-release-age) para evitar instalar versiones que tengan menos tiempo de vida.

• Usa siempre npm ci para forzar instalaciones estrictas y deterministas basadas 100% en tu lockfile.

.

Y por último pero no menos importante, hardeniza tu entorno y protege tus secretos. No está de más esta sugerencia de buenas prácticas, pero igual te la dejamos:

En su lugar, usa un gestor de secretos y acostúmbrate a trabajar utilizando Dev Containers así, si este u otro script malicioso se llega a ejecutar, se quedará atrapado en la sandobox.

Aplica estos protocolos hoy mismo.

Lee más de la noticia en

https://www.sophos.com/en-us/blog/axios-npm-package-compromised-to-deploy-malware

Y de los pasos de buenas prácticas en: https://github.com/lirantal/npm-security-best-practices

Ya sabes ¿Dónde Practicar Algoritmos en línea?

¡Gracias por leer!

📍 Conéctate con nosotros en instagram👇