En un duro golpe para el ecosistema de JavaScript, la popular biblioteca cliente HTTP Axios fue víctima de un ataque a la cadena de suministro entre el 30 y el 31 de marzo de 2026. Los atacantes secuestraron las credenciales de npm de un mantenedor principal y publicaron dos versiones maliciosas del paquete que instalaron silenciosamente un troyano de acceso remoto (RAT) multiplataforma en las máquinas de los desarrolladores. Axios, con cientos de millones de descargas semanales, impulsa las solicitudes de API en innumerables aplicaciones web y Node.js. Las versiones comprometidas —axios@1.14.1 y axios@0.30.4— introdujeron una dependencia oculta llamada plain-crypto-js@4.2.1. Este paquete ejecutaba un script posterior a la instalación que actuaba como un sofisticado instalador de RAT, capaz de infectar sistemas Windows, macOS y Linux. Tras conectarse a un servidor de comando y control y entregar su carga útil, el malware se autoeliminó y reemplazó su archivo package.json con una versión limpia, lo que dificultó enormemente su detección forense.
Investigadores de seguridad de StepSecurity, Snyk y Socket.dev fueron de los primeros en identificar y divulgar públicamente el ataque. Las versiones maliciosas fueron eliminadas de npm en cuestión de horas, y la última versión legítima (1.14.0) no se vio afectada.
¿Quiénes resultaron afectados?
Cualquier desarrollador o proyecto que haya ejecutado npm install, yarn install, pnpm install o comandos similares mientras las versiones infectadas estaban activas (un lapso de aproximadamente dos horas entre el 30 y el 31 de marzo) y haya utilizado rangos de versiones imprecisos como ^1.14.0 o ^0.30.0 en su package.json. Debido a que el ataque fue sigiloso, es posible que muchas víctimas aún no se den cuenta de que sus máquinas fueron comprometidas. ¿Qué debe hacer ahora mismo?
Comprueba tus archivos package.json y lockfiles (package-lock.json, yarn.lock, pnpm-lock.yaml) para detectar cualquier referencia a las versiones 1.14.1 o 0.30.4 de axios.
Elimina la carpeta node_modules y el archivo lockfile, y luego reinstala usando una versión segura fija (por ejemplo, "axios": "^1.14.0").
Analice sus sistemas en busca de actividad sospechosa, especialmente conexiones salientes de procesos Node.js.
Considera la posibilidad de utilizar herramientas como npm audit, Socket.dev o Snyk para analizar las dependencias.
El equipo de Axios aún no ha emitido una declaración formal más allá de las actualizaciones internas de CI, pero la rápida respuesta de la comunidad de seguridad de código abierto limitó los daños. Este incidente pone de manifiesto los crecientes riesgos en el ecosistema npm y la importancia de la fijación estricta de versiones, los archivos de bloqueo y las herramientas de seguridad de la cadena de suministro. Se recomienda a los desarrolladores que se mantengan alerta y consulten los canales oficiales de Axios (GitHub y npm) para obtener más información. Fuentes: StepSecurity, The Hacker News, Snyk, Socket.dev y el repositorio de Axios en GitHub.
