Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
2641
)
-
▼
marzo
(Total:
833
)
-
El jefe del FBI, Kash Patel, sufrió el hackeo de s...
-
Día Mundial del Backup 2026: un recordatorio de la...
-
Consigue "aterrizar" en la luna usando un ZX Spect...
-
Alguien pidió un disipador AMD y abrió la caja par...
-
Apple lo tiene claro: el iPhone seguirá vivo dentr...
-
El truco del "Cupcake" para saber cuando ChatGPT, ...
-
GitHub se suma a Google, Amazon (AWS), OpenAI y An...
-
OpenAI acaba de hacer Codex mucho más útil para lo...
-
Nvidia invierte 2.000 millones en Marvell para pro...
-
Vulnerabilidad en plugin de WordPress expone datos...
-
El kit Coruna para iOS reutiliza el código del exp...
-
La IA calienta Aragón: los centros de datos de IA ...
-
Los chatbots de IA mienten y manipulan a usuarios ...
-
Fuga de datos de CareCloud: accedieron a la infrae...
-
Euro-Office: la suite ofimática por la soberanía d...
-
¿Qué es Codex Security, la nueva IA de OpenAI que ...
-
Instagram Plus, la primera suscripción de pago de ...
-
Cable HDMI de fibra óptica de 500$ ofrece rendimie...
-
FSR 4 INT8 no era lo que parecía: ¿por qué no ha l...
-
Apple advierte a usuarios sobre ataques ClickFix e...
-
Fin de las estafas por SMS en España: la CNMC acti...
-
PS6 tendrá un SSD de 1 TB, pero no será un problem...
-
Un estudio confirma que ChatGPT, Claude y otros ch...
-
Sintetizador inspirado en NES que también funciona...
-
Por qué nunca deberías dar información sensible a ...
-
CISA advierte sobre vulnerabilidad en Citrix NetSc...
-
Microsoft impulsa las aplicaciones nativas de Wind...
-
Hackean la web oficial de la Unión Europea y roban...
-
Los borradores filtrados de Anthropic revelan el p...
-
Filtran 93 GB de datos "anónimos" de la policía
-
MSI introduce GPU Safeguard+: así evita que tu GPU...
-
Movistar y O2 permiten bloquear las llamadas de sp...
-
Microsoft gastará 146.000 millones de dólares en I...
-
China construye la escalera mecánica al aire libre...
-
AMD arregla el overclock de las RX 9000 tras 1 año...
-
700 agentes de IA fundan una religión en el juego ...
-
Paquetes NPM de Axios comprometidos para inyectar ...
-
AMD EPYC Venice Zen 6 se muestra con hasta 192 cor...
-
El código QR más pequeño mide como una bactería, y...
-
Clon SSD falso Samsung 990 Pro casi indetectable
-
Disponible Ubuntu 26.04 LTS Beta con Linux 7.0, GN...
-
Cambiar a Gemini importando datos de ChatGPT
-
Netflix sube de precio otra vez
-
Apple retira el Mac Pro tras 20 años
-
Vulnerabilidades críticas en Citrix NetScaler y Ga...
-
Tiene 91 años y se ha acabado Resident Evil Requie...
-
Condenan a Meta y a Google por diseñar productos a...
-
Trabajador norcoreano de TI usó identidad robada e...
-
CapCut lanza Seedance 2.0, la IA que puede generar...
-
Windows se bloquea 3,1 veces más que macOS
-
ASUS despliega AGESA 1.3.0.1 en toda su gama X870 ...
-
Administrador del foro LeakBase detenido en Rusia
-
Se infiltran el SDK Python de Telnyx en PyPI para ...
-
Vulnerabilidades críticas de NVIDIA permiten ataqu...
-
Vulnerabilidad de XSS almacenado en Jira Work Mana...
-
Samsung apuesta por RISC-V en SSD: así es su nuevo...
-
Huawei Ascend 950PR: simulan CUDA con CANN Next y ...
-
Desarrollador muestra un mundo enorme sin pantalla...
-
GeForce RTX 60: el doble de rendimiento en trazado...
-
Universidades chinas con investigación militar com...
-
Nueva vulnerabilidad en Windows Error Reporting pe...
-
La Wikipedia prohíbe por completo los artículos ge...
-
Meta financiará siete nuevas centrales eléctricas ...
-
ISC advierte sobre una falla crítica en Kea DHCP q...
-
Samsung Galaxy S27 Ultra: dos cambios y una constante
-
Meta despide a 700 empleados y confirma lo que muc...
-
El traductor de Kingdom Come: Deliverance 2 fue de...
-
China presenta con un enjambre de 96 drones autóno...
-
LG gram Pro 17, llega el portátil más ligero del m...
-
Vulnerabilidad crítica en Fortinet FortiClient EMS...
-
Melania Trump entrando a la Casa Blanca acompañada...
-
Demanda colectiva alega que Nvidia ocultó más de m...
-
Gran Bretaña lanza un satélite capaz de ver el int...
-
La crisis del portátil: con una caída del 40% por ...
-
Wine 11 revoluciona la forma de jugar en Linux: ej...
-
Vulnerabilidad en Synology DiskStation Manager per...
-
Una RTX 4090 falla tras 2 años y el fabricante pid...
-
El plan de un ChatGPT al estilo PornHub tiene un p...
-
Las ventas de monitores OLED se dispararon un 92% ...
-
Un misil de 30 centímetros y solo 500 gramos que p...
-
El método de Movistar para arreglar el WiFi cuando...
-
LOLExfil: exfiltración sigilosa de datos usando té...
-
Ryzen 9 9950X3D2 Dual Edition con doble memoria 3D...
-
Ni Movistar ni Vodafone, Orange es la preferida de...
-
Un nuevo estudio revela que lo más dañino del móvi...
-
El museo abre la colección más grande del mundo de...
-
NVIDIA quiere que la mitad del sueldo de sus ingen...
-
Impresora 3D de 12 boquillas presentada
-
CISA incluye fallos de Apple, Craft CMS y Laravel ...
-
Microsoft Entra ID elimina limitaciones de MFA par...
-
Consorcio de Tokio prueba instalar centros de dato...
-
Vulnerabilidad en Cisco Secure Firewall permite ej...
-
Micron, Samsung y SK Hynix se tambalean: Google en...
-
OpenAI lanza programa de recompensas por fallos de...
-
Entusiasta "aterriza" en la luna usando hardware d...
-
Atacan a usuarios de Android con falsas invitacion...
-
Intel Core 3 310 y Core 5 320, las CPU Wildcat Lak...
-
Cadena de exploits DarkSword que puede hackear mil...
-
Microsoft detalla nuevas protecciones de seguridad...
-
Grupos APT atacan servidores RDP para desplegar ca...
-
-
▼
marzo
(Total:
833
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
.png)
El escaneo de vulnerabilidades es la base de cualquier estrategia sólida de ciberseguridad, identificando y parcheando fallos antes de que s... -
Una web para programadores criticó a LaLiga por bloqueos indiscriminados, ironizando: " Si somos una web para 4 frikis, sois nuestros... -
La IA Claude Code de Anthropic descubre una vulnerabilidad oculta en Linux durante más de 23 años , marcando un hito en ciberseguridad.
Paquetes NPM de Axios comprometidos para inyectar código malicioso en un ataque activo a la cadena de suministro
Un sofisticado ataque a la cadena de suministro ha afectado a Axios, uno de los clientes HTTP más utilizados en el ecosistema JavaScript, al introducir una dependencia transitiva maliciosa en el registro oficial de npm. Como componente crítico en frameworks frontend, microservicios backend y aplicaciones empresariales, Axios registra aproximadamente 83 millones de descargas semanales en npm.
Un sofisticado ataque a la cadena de suministro ha afectado a Axios, uno de los clientes HTTP más utilizados en el ecosistema JavaScript, al introducir una dependencia transitiva maliciosa en el registro oficial de npm.
Como componente crítico en frameworks frontend, microservicios backend y aplicaciones empresariales, Axios registra aproximadamente 83 millones de descargas semanales en npm.
El compromiso implica la publicación no autorizada de nuevas versiones de Axios que automáticamente incorporan plain-crypto-js@4.2.1, un paquete recién publicado confirmado por sistemas automatizados de detección de malware como portador de código malicioso.
Debido a la amplia integración de Axios en el desarrollo web moderno, el radio potencial de impacto de este envenenamiento de la cadena de suministro es excepcionalmente amplio, lo que exige la activación inmediata de protocolos de respuesta a incidentes por parte de los usuarios finales.
Según Socket, los actores de la amenaza ejecutaron este ataque rompiendo con los patrones estándar de lanzamiento del proyecto.
Normalmente, los mantenedores de Axios publican versiones etiquetadas en GitHub al mismo tiempo que en npm. Sin embargo, las versiones comprometidas en npm no aparecen en los tags del repositorio oficial de GitHub.
Paquetes NPM de Axios comprometidos
En el momento del incidente, v1.14.0 seguía siendo el tag más reciente visible en GitHub, lo que indica que las actualizaciones maliciosas se subieron directamente al registro de npm fuera del pipeline de despliegue habitual.
Este bypass del control de versiones estándar sugiere un esfuerzo altamente coordinado para inyectar código malicioso de forma silenciosa. La dependencia con carga maliciosa, plain-crypto-js@4.2.1, se publicó en el registro el 30 de marzo de 2026 a las 23:59:12 UTC.
Minutos después de esta publicación, las versiones comprometidas de Axios se pusieron en línea. La detección automatizada de malware por parte de Socket marcó el paquete anómalo plain-crypto-js poco después, a las 00:05:41 UTC del 31 de marzo, destacando la rápida secuencia de ejecución diseñada para maximizar la infección antes de que las herramientas de seguridad pudieran reaccionar.
Para evadir la detección inmediata durante la fase inicial de infección, los atacantes introdujeron alteraciones mínimas en el código base principal de Axios. La única modificación fue añadir el paquete malicioso plain-crypto-js al árbol de dependencias.
Utilizar cambios pequeños y dirigidos es una táctica convencional y altamente efectiva en los ataques a la cadena de suministro. Este enfoque permite a los actores de amenazas ejecutar código arbitrario a través de dependencias transitivas mientras evitan el escrutinio que suele acompañar a modificaciones grandes en el código base o cambios lógicos.
Las investigaciones en los registros del registro revelan que el paquete malicioso está asociado con la cuenta de publicador de npm jasonsaayman. La aparición de esta cuenta en la cadena de dependencias comprometida plantea preocupaciones significativas sobre capacidades de publicación no autorizadas de paquetes.
Esto apunta hacia un posible secuestro de cuenta, credenciales de desarrollador comprometidas o un token de sesión robado que permitió a los atacantes autenticarse y publicar los artefactos maliciosos directamente en el registro de npm.
Los equipos de seguridad, ingenieros de DevOps y desarrolladores deben auditar inmediatamente sus cadenas de suministro de software para identificar y eliminar los componentes comprometidos. Los mantenedores de proyectos deben revisar a fondo los archivos de bloqueo de proyectos, gráficos de dependencias, ramas de características y solicitudes de extracción abiertas en busca de cualquier exposición a las versiones afectadas.
| Paquete comprometido | Versión | Dependencia maliciosa |
|---|---|---|
| Axios | 1.14.1 | plain-crypto-js@4.2.1 |
| Axios | 0.30.4 | plain-crypto-js@4.2.1 |
| plain-crypto-js | 4.2.1 | Carga maliciosa principal |
Si detectas alguna de estas versiones específicas de paquetes en tu entorno, es imperativo eliminarlas por completo o revertir tus dependencias a una versión segura conocida, como Axios 1.14.0, para evitar la ejecución del código inyectado.
Dado que este sigue siendo un incidente de seguridad activo y en rápida evolución, son necesarias la búsqueda continua de amenazas y la monitorización constante para determinar el alcance completo del compromiso y prevenir una mayor explotación.
Fuentes:
https://cybersecuritynews.com/axios-npm-packages-compromised/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.