.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
El 30 de marzo de 2026, un ataque a la seguridad de la cadena de suministro tuvo como objetivo Axios, un cliente HTTP de JavaScript muy utilizado para aplicaciones web y Node.js. Investigadores externos descubrieron que las versiones 1.14.1 y 0.30.4 de Axios publicadas en el registro de npm se vieron comprometidas tras la aparente apropiación de una cuenta legítima del mantenedor. Un atacante publicó actualizaciones no autorizadas del paquete que parecían legítimas.
Las versiones afectadas introducían una dependencia maliciosa que se ejecuta durante la instalación y despliega un troyano de acceso remoto (RAT) multiplataforma. El malware se comunica con un servidor de comando y control (C2) para recuperar cargas útiles de segunda fase específicas para cada plataforma. Tras su ejecución, el malware intenta eliminar los rastros de la instalación y sustituye los metadatos de su propio paquete por una versión limpia para evadir la detección forense.
Observaciones de Sophos
La actividad relacionada con esta amenaza se detectó por primera vez en la telemetría de los clientes de Sophos aproximadamente a las 00:45 UTC del 31 de marzo, con un impacto generalizado a partir de la 01:00 UTC. Los sistemas MacOS, Windows y Linux se vieron afectados, pero no hay pruebas de que los autores de la amenaza hayan llevado a cabo actividades posteriores al momento de esta publicación.
El análisis de Counter Threat Unit™ (CTU) sobre el compromiso de Axios npm reveló artefactos vinculados a actividades anteriores atribuidas al grupo de amenazas NICKEL GLADSTONE. Este grupo se centra en generar ingresos para el régimen norcoreano. Los artefactos incluyen metadatos forenses y patrones de comando y control (C2) idénticos, así como conexiones con malware utilizado exclusivamente por NICKEL GLADSTONE. Basándonos en estos indicios, es muy probable que NICKEL GLADSTONE sea el responsable de los ataques a Axios.
Medidas recomendadas
Los investigadores de CTU™ recomiendan que las organizaciones revisen los paquetes de Axios en sus entornos y determinen si se han instalado versiones potencialmente afectadas. Las organizaciones deben actualizar los paquetes vulnerables a versiones de confianza o aplicar las medidas de mitigación adecuadas. Los investigadores de CTU también aconsejan revisar los registros del sistema y de las aplicaciones en busca de actividad inusual que pueda indicar un compromiso.
Protecciones e indicadores de amenaza
Las siguientes protecciones de Sophos están relacionadas con esta amenaza:
- JS/Agent-BLYB
- Troj/PSAgent-CN
- Troj/PyAgent-BZ
- OSX/NukeSped-CB
- WIN-EVA-PRC-RENAMED-POWERSHELL-1
Los indicadores de amenaza de la Tabla 1 pueden utilizarse para detectar actividad relacionada con esta amenaza. Ten en cuenta que las direcciones IP pueden reasignarse. Los dominios, las URL y las direcciones IP pueden contener contenido malicioso, así que valora los riesgos antes de abrirlos en un navegador.
| Indicador | Tipo | Contexto |
| 21d2470cae072cf2d027d473d168158c | Hash MD5 | Versión maliciosa de Axios (axios-1.14.1.tgz) |
| 2553649f2322049666871cea80a5d0d6adc700ca | Hash SHA1 | Versión maliciosa de Axios (axios-1.14.1.tgz) |
| 5bb67e88846096f1f8d42a0f0350c9c46260591567612ff9af46f98d1b7571cd | Hash SHA256 | Versión maliciosa de Axios (axios-1.14.1.tgz) |
| d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71 | Hash SHA1 | Versión maliciosa de Axios (axios-0.30.4.tgz) |
| 59336a964f110c25c112bcc5adca7090296b54ab33fa95c0744b94f8a0d80c0f | Hash SHA256 | Versión maliciosa de Axios (axios-0.30.4.tgz) |
| db7f4c82c732e8b107492cae419740ab | Hash MD5 | Versión maliciosa de Axios (plain-crypto-js-4.2.1.tgz) |
| 07d889e2dadce6f3910dcbc253317d28ca61c766 | Hash SHA1 | Versión maliciosa de Axios (plain-crypto-js-4.2.1.tgz) |
| 58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a24c61a057325af668 | Hash SHA256 | Versión maliciosa de Axios (plain-crypto-js-4.2.1.tgz) |
| 7658962ae060a222c0058cd4e979bfa1 | Hash MD5 | Artefacto del ataque a Axios (setup.js) |
| b0e0f12f1be57dc67fa375e860cedd19553c464d | Hash SHA1 | Artefacto del ataque a Axios (setup.js) |
| e10b1fa84f1d6481625f741b69892780140d4e0e7769e7491e5f4d894c2e0e09 | Hash SHA256 | Artefacto del ataque a Axios (setup.js) |
| 089e2872016f75a5223b5e02c184dfec | Hash MD5 | Carga útil de primera fase de Windows en los ataques a Axios (system.bat) |
| 978407431d75885228e0776913543992a9eb7cc4 | Hash SHA1 | Carga útil de primera fase de Windows en los ataques a Axios (system.bat) |
| f7d335205b8d7b20208fb3ef93ee6dc817905dc3ae0c10a0b164f4e7d07121cd | Hash SHA256 | Carga útil de primera fase de Windows en los ataques a Axios (system.bat) |
| 04e3073b3cd5c5bfcde6f575ecf6e8c1 | Hash MD5 | Carga útil de segunda fase de Windows en los ataques a Axios (6202033 PowerShell RAT) |
| a90c26e7cbb3440ac1cad75cf351cbedef7744a8 | Hash SHA1 | Carga útil de segunda fase de Windows en los ataques a Axios (6202033 PowerShell RAT) |
| 617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101 | Hash SHA256 | Carga útil de segunda fase de Windows en los ataques a Axios (6202033 PowerShell RAT) |
| 7a9ddef00f69477b96252ca234fcbeeb | Hash MD5 | Carga útil de macOS en los ataques de Axios (com.apple.act.mond) |
| 13ab317c5dcab9af2d1bdb22118b9f09f8a4038e | Hash SHA1 | Carga útil de macOS en los ataques de Axios (com.apple.act.mond) |
| 92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a | Hash SHA256 | Carga útil de macOS en los ataques de Axios (com.apple.act.mond) |
| 9663665850cdd8fe12e30a671e5c4e6f | Hash MD5 | Carga útil de Linux en los ataques de Axios (ld.py) |
| 59faac136680104948e083b3b67a70af9bfa5d5e | Hash SHA1 | Carga útil de Linux en los ataques de Axios (ld.py) |
| fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf | Hash SHA256 | Carga útil de Linux en los ataques de Axios (ld.py) |
| 8c782b59a786f18520673e8d669e3b0a | Hash MD5 | Archivo de persistencia del malware de Windows en los ataques a Axios (system.bat) |
| ae39c4c550ad656622736134035f17ca7a66a742 | Hash SHA1 | Archivo de persistencia del malware de Windows en los ataques a Axios (system.bat) |
| e49c2732fb9861548208a78e72996b9c3c470b6b562576924bcc3a9fb75bf9ff | Hash SHA256 | Archivo de persistencia del malware de Windows en los ataques a Axios (system.bat) |
| sfrclak[.]com | Nombre de dominio | Servidor C2 vinculado a los ataques a Axios |
| callnrwise[.]com | Nombre de dominio | Vinculado a los ataques a Axios |
| hxxp://sfrclak[.]com:8000/6202033 | URL | Servidor C2 vinculado a los ataques a Axios |
| 142[.]11[.]206[.]73 | Dirección IP | Servidor C2 vinculado a los ataques a Axios |
| nrwise@proton[.]me | Dirección de correo electrónico | Vinculado a los ataques a Axios |
| ifstap@proton[.]me | Dirección de correo electrónico | Vinculado a los ataques a Axios |
| C:\ProgramData\wt.exe | Ruta del archivo | Ubicación del malware de Windows en los ataques a Axios |
| C:\ProgramData\system.bat | Ruta del archivo | Ubicación del malware de primera fase de Windows en los ataques a Axios |
Tabla 1: Indicadores de esta amenaza