Volver al inicio

Seguridad de Dependencias: Lecciones del Hack de Axios | Guía para DevOps

Análisis del incidente de 2026 con el compromiso de Axios: cómo 3 horas de ataque afectaron a 174 mil paquetes a través de una dependencia maliciosa. Recomendaciones para proteger CI/CD y prevenir ataques a la cadena de suministro para equipos DevOps.

Hack de Axios: cómo 3 horas amenazaron a 174 mil proyectos. ¿Qué hacer?
Advertisement 728x90

# El hackeo de Axios: Cómo 3 horas de compromiso de cuenta afectaron a 174.000 paquetes

El 30 de marzo de 2026, un atacante que obtuvo acceso a la cuenta de un mantenedor de Axios publicó versiones maliciosas de la biblioteca, afectando a unos 174.000 paquetes dependientes. El ataque, que duró solo tres horas, fue posible gracias a puntos ciegos en los procesos de gestión de dependencias y herramientas de seguridad. Desglosemos cómo ocurrió y cómo protegerte.

Mecánica del ataque: Del compromiso de cuenta a RAT

El incidente comenzó con un cambio en el correo electrónico de la cuenta jasonsaayman (mantenedor principal de Axios) a [email protected] y un cambio de un pipeline OIDC confiable a CLI-publish directo. Estos cambios fueron detectados automáticamente por Elastic Security Labs mediante monitoreo de la cadena de suministro. Las versiones maliciosas Axios 1.14.1 (etiqueta latest) y 0.30.4 (etiqueta legacy) contenían una dependencia sospechosa plain-crypto-js.

El atacante utilizó un esquema en dos etapas:

Google AdInline article slot
  • [email protected] — una versión legítima publicada previamente para crear historial
  • [email protected] — una versión maliciosa con un hook postinstall que carga un RAT desde el servidor sfrclak[.]com:8000

Una característica clave del ataque fue la falta de modificación en el código fuente de Axios. En su lugar, el atacante añadió el paquete malicioso a la lista de dependencias. El RAT era multiplataforma, proporcionando acceso remoto completo a macOS, Windows y Linux tras establecer conexión con el servidor C2.

Por qué fallaron las herramientas de seguridad estándar

La mayoría de los pipelines CI/CD no detectaron la amenaza por varias razones. NPM Audit, que compara paquetes contra la base de datos CVE, devolvió un estado limpio porque las nuevas versiones aún no estaban en vulnerabilidades conocidas. La herramienta no está diseñada fundamentalmente para detectar ataques frescos mediante compromiso de cuentas: solo funciona con CVE conocidas.

Un error crítico en los procesos de muchos equipos es la falta de versiones de dependencias fijadas. Al usar ^1.x.x, el pipeline resuelve automáticamente a la latest, lo que llevó a descargar la versión maliciosa durante la ventana de 3 horas. Según el OpenSSF Scorecard 2024, menos del 20% de los proyectos usan hashes de dependencias fijados. Las dependencias transitivas (paquetes necesarios solo en tiempo de compilación) quedan fuera del alcance de las verificaciones, a pesar de su potencial amenaza.

Google AdInline article slot

Nuevas reglas de seguridad en la cadena de suministro

El incidente de Axios expuso una brecha sistémica en el modelo de seguridad tradicional. Antes, la responsabilidad se dividía entre líderes de equipo (selección de módulos), DevOps (entrega) y equipos de seguridad (SAST/DAST). Pero nadie era responsable de monitorear la integridad de las cuentas de los mantenedores. La confianza en paquetes firmados estaba ligada a una cuenta específica, que podía ser comprometida.

La escala de la vulnerabilidad se explica por el dominio de Axios en el ecosistema: 100 millones de descargas semanales y 174.000 paquetes dependientes. Un proyecto Node.js típico tiene 40–60 dependencias directas, cada una arrastrando 5–7 transitivas. Eso son más de 200 paquetes con propietarios de cuentas separados, cuya seguridad a menudo se ignora.

Rol de la IA en la escalada de amenazas

Los ataques modernos cuentan con patrocinio estatal y uso de IA. En este caso, la atribución apunta a un actor de amenaza norcoreano (Google Cloud Threat Intelligence). Las redes neuronales aceleran la caza de vulnerabilidades en código abierto: lo que antes tomaba horas ahora toma minutos.

Google AdInline article slot

Según Google Project Zero (2023), el tiempo medio desde el descubrimiento de una vulnerabilidad hasta el parche es de 25 días. La IA acorta el tiempo que los atacantes dedican a buscar vulnerabilidades más rápido de lo que los equipos de seguridad pueden crecer. El número de vulnerabilidades no detectadas en código abierto alcanza los millones, creando un vasto campo para la explotación.

Medidas de protección efectivas

El ataque se detuvo no por seguridad estándar, sino por monitoreo conductual de Elastic Security Labs. Para prevenir incidentes similares, implementa lo siguiente en tu CI/CD:

  • Versiones fijadas — usa npm install --frozen-lockfile y confirma package-lock.json
  • Verificaciones de firmasnpm audit signatures para validar procedencia SLSA
  • SAST en dependencias — análisis estático de paquetes instalados
  • Alertas automáticas — Dependabot para rastrear CVE
  • Meta-monitoreo — análisis de cambios de correo, métodos de publicación e historial de dependencias

Las grandes empresas ya adoptan estas prácticas en DevSecOps. Los proyectos pequeños, que forman la mayoría de los paquetes afectados, a menudo las ignoran por complejidad y falta de recursos.

Lecciones clave

  • Las firmas importan — Verificar firmas criptográficas (npm audit signatures) detectará inmediatamente un cambio en el método de publicación de OIDC a CLI.
  • Las dependencias transitivas son una amenaza — Paquetes que no llegan a producción aún pueden ejecutar código malicioso durante la etapa de compilación.
  • El análisis conductual supera las verificaciones CVE — Monitorear metadatos (correo, historial de publicación) es más importante que bases de datos de vulnerabilidades para ataques frescos.
  • Fijar versiones es crítico — Eliminar ^1.x.x previene descargas automáticas de versiones latest maliciosas.

El incidente de Axios marcó un punto de inflexión: el perímetro de seguridad ahora incluye código de terceros y cuentas de mantenedores. Quienes no adapten sus procesos seguirán vulnerables a ataques dirigidos en la cadena de suministro. Los tiempos de respuesta se han reducido a horas: la protección debe ser automática y cubrir todas las etapas.

— Editorial Team

Advertisement 728x90

Leer después