Cómo el ataque a Axios npm usó un error falso de Teams para robar credenciales de mantenedores

Cómo el ataque a Axios npm usó un error falso de Teams para robar credenciales de mantenedores

por

ataque cadena suministro npm — El reciente ataque de cadena de suministro npm contra la popular biblioteca Axios ha revelado una campaña de ingeniería social sofisticada vinculada a actores de amenazas norcoreanos. Según el análisis post-mortem publicado por los mantenedores del proyecto, los atacantes utilizaron una falsa solución de error de Microsoft Teams para comprometer las credenciales de publicación y distribuir malware a través del registro de paquetes.

Cómo ataque cadena suministro npm explica Puntos clave del ataque a la cadena de suministro de Ax

  • Actores norcoreanos UNC1069 dirigieron al mantenedor principal mediante ingeniería social elaborada
  • Crearon un entorno Slack falso que imitaba a una empresa legítima con perfiles simulados
  • Durante una videollamada en Teams, mostraron un error técnico falso que requería «actualizar» la aplicación
  • El «parche» era en realidad un RAT (Remote Access Trojan) que otorgaba acceso remoto al dispositivo
  • Con las credenciales robadas, publicaron versiones maliciosas 1.14.1 y 0.30.4 en npm
  • Las versiones comprometidas inyectaban la dependencia maliciosa plain-crypto-js
  • El malware afectaba a sistemas macOS, Windows y Linux por igual

La ingeniería social como vector principal del ataque

Lo que distingue a este incidente no es la sofisticación técnica del malware, sino la elaborada campaña de ingeniería social que precedió al compromiso. Los atacantes dedicaron semanas a construir una identidad falsa convincente, clonando el branding de una empresa real y creando perfiles ficticios de empleados y otros mantenedores de código abierto. Según el relato del mantenedor objetivo, Jason Saayman, el entorno Slack creado por los atacantes incluía canales con actividad simulada, compartiendo incluso publicaciones de LinkedIn que redirigían a los perfiles reales de la empresa suplantada.

Esta meticulosa construcción de confianza es característica de las operaciones de amenazas persistentes avanzadas (APT), donde la inversión en tiempo y recursos se justifica por el valor del objetivo. En este caso, Axios es una de las bibliotecas HTTP más utilizadas en el ecosistema JavaScript, con miles de millones de descargas semanales indirectas a través de dependencias transitivas.

Representación visual de un ataque de ingeniería social dirigido a desarrolladores
Representación visual de un ataque de ingeniería social dirigido a desarrolladores — Foto: Growtika vía Unsplash

Análisis de ataque cadena suministro npm: El momento crítico: la videollamada con error falso

El punto de inflexión en la campaña ocurrió cuando los atacantes programaron una videollamada en Microsoft Teams. Durante la llamada, que aparentemente incluía a múltiples participantes, se mostró un error técnico que indicaba que «algo en el sistema estaba desactualizado». La solución propuesta: instalar una actualización de Teams para corregir el problema. Este patrón, conocido como ataque ClickFix, explota la disposición natural de los usuarios a resolver problemas técnicos aparentemente legítimos.

Lo que el mantenedor descargó e instaló no fue una actualización de Teams, sino un troyano de acceso remoto que inmediatamente otorgó a los atacantes control completo sobre su dispositivo. Desde esta posición privilegiada, pudieron extraer las credenciales de autenticación para la cuenta npm del proyecto Axios, incluyendo tokens de sesión activos que eludían las protecciones de autenticación multifactor (MFA).

La respuesta de la comunidad y el alcance real de la campaña

Tras la publicación del análisis post-mortem por parte del equipo de Axios, múltiples mantenedores de proyectos Node.js de alto perfil han reportado haber sido objetivo de campañas idénticas. Pelle Wessman, mantenedor del framework Mocha, compartió en LinkedIn capturas de pantalla de mensajes de error falsos idénticos a los utilizados en el ataque contra Axios. Según su testimonio, cuando se negó a instalar la aplicación maliciosa, los atacantes intentaron persuadirle para que ejecutara un comando curl que descargaría y ejecutaría el payload.

La firma de ciberseguridad Socket ha confirmado que se trata de una campaña coordinada que ha estado dirigiendo específicamente a mantenedores de paquetes npm críticos. Según su investigación, los objetivos incluyen mantenedores de paquetes con miles de millones de descargas semanales e incluso contribuidores al núcleo de Node.js. Esto sugiere que el ataque contra Axios no fue un incidente aislado, sino parte de una operación más amplia diseñada para comprometer múltiples puntos de la cadena de suministro de JavaScript.

Pantalla de error falsa similar a la utilizada en el ataque con Microsoft Teams
Pantalla de error falsa similar a la utilizada en el ataque con Microsoft Teams — Foto: Ed Hardie vía Unsplash

El modus operandi de UNC1069: patrones reconocibles

El Google Threat Intelligence Group (GTIG) ha atribuido formalmente este ataque al actor de amenazas UNC1069, un grupo norcoreano con motivación financiera activo desde al menos 2018. El análisis de GTIG identifica el uso de WAVESHAPER.V2, una versión actualizada de malware previamente asociada a este actor, como indicador clave de atribución. Además, la infraestructura utilizada en este ataque muestra superposiciones con operaciones anteriores de UNC1069.

Este grupo ha demostrado especial interés en el sector de las criptomonedas, utilizando tácticas similares de ingeniería social para comprometer empresas del sector. En campañas anteriores, tras obtener acceso inicial, UNC1069 ha desplegado payloads adicionales como backdoors, downloaders e infostealers diseñados para robar credenciales, datos de navegadores, tokens de sesión y otra información sensible.

Implicaciones para la seguridad de la cadena de suministro de software

Este incidente subraya una tendencia preocupante: los atacantes están desplazando su enfoque desde vulnerabilidades técnicas hacia los eslabones humanos de la cadena de suministro. La ingeniería social dirigida contra mantenedores de alto perfil representa un vector de ataque particularmente eficaz, ya que un único compromiso puede afectar a millones de sistemas downstream.

El equipo de Axios ha implementado medidas correctivas inmediatas, incluyendo la limpieza de sistemas afectados, el restablecimiento de todas las credenciales y la revisión de sus procesos de publicación. Sin embargo, como comunidad de código abierto, debemos confrontar una realidad incómoda: nuestra dependencia colectiva de mantenedores individuales crea puntos únicos de fallo que son cada vez más atractivos para actores estatales y grupos criminales organizados.

Bandera norcoreana con elementos digitales representando a UNC1069
Bandera norcoreana con elementos digitales representando a UNC1069 — Foto: Steve Barker vía Unsplash

Recomendaciones para mantenedores de proyectos open source

Basándonos en nuestro análisis de este incidente y patrones similares observados en operaciones de APT, recomendamos a los mantenedores de proyectos de código abierto:

  1. Verificación estricta de identidades: Antes de unirse a espacios de trabajo colaborativos o aceptar invitaciones a reuniones, verificar la identidad de los contactos a través de múltiples canales independientes.
  2. Principio de mínimo privilegio: Limitar los permisos de las cuentas de publicación y utilizar tokens de acceso con alcance restringido en lugar de credenciales de amplio alcance.
  3. Hardware de seguridad: Implementar el uso de llaves de seguridad física (como YubiKey) para operaciones críticas, que son resistentes a la suplantación de sesiones.
  4. Capacitación en concienciación: Participar en programas de formación específicos sobre ingeniería social dirigida a desarrolladores y mantenedores.
  5. Monitoreo de publicaciones: Configurar alertas automáticas para cualquier publicación nueva en el registro, incluso desde cuentas autorizadas.

El futuro de los ataques a la cadena de suministro de software

Los investigadores de Socket advierten que este tipo de ataques de cadena de suministro npm se están volviendo más comunes y sofisticados. Los atacantes están invirtiendo significativamente en la investigación de objetivos, identificando mantenedores con acceso privilegiado a paquetes de alto impacto. La escalabilidad de este enfoque es particularmente preocupante: una vez desarrollada la infraestructura de ingeniería social, puede replicarse contra múltiples objetivos con relativamente poco esfuerzo adicional.

Como analistas de ciberinteligencia, observamos que la frontera entre la seguridad del software y la seguridad humana se desdibuja cada vez más. Los atacantes avanzados reconocen que es más fácil engañar a una persona que explotar una vulnerabilidad técnica en sistemas bien protegidos. Esta tendencia probablemente continuará, impulsando la necesidad de enfoques holísticos de seguridad que integren controles técnicos, procesos robustos y concienciación humana continua.

Entorno de trabajo de un mantenedor de código abierto con múltiples pantallas
Entorno de trabajo de un mantenedor de código abierto con múltiples pantallas — Foto: National Cancer Institute vía Unsplash

La comunidad de código abierto enfrenta un desafío existencial: cómo mantener la apertura y colaboración que la define mientras se defiende contra actores que explotan precisamente esas características. La respuesta no será simple, pero incidentes como este ataque a Axios proporcionan lecciones valiosas para construir ecosistemas más resilientes.

Artículos relacionados

¿Tu organización está preparada ante las ciberamenazas?

En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.

→ Conoce nuestros servicios y da el primer paso

Deja un comentario