Hackers norcoreanos secuestraron Axios en un ataque a la cadena de suministro que tardó semanas en prepararse
Un proyecto ampliamente utilizado convertido en un vector de ciberataque
Una operación cibernética norcoreana secuestró brevemente Axios, uno de los proyectos de código abierto más utilizados de la web, en un ataque el 31 de marzo que parece haber estado gestándose durante semanas. El compromiso subraya cómo los hackers respaldados por estados están apuntando cada vez más a la infraestructura de software de confianza, donde una sola brecha puede extenderse a miles de sistemas.
Axios es una popular biblioteca JavaScript utilizada por los desarrolladores para conectar aplicaciones a internet. Debido a que se encuentra dentro de tantas compilaciones de software, un compromiso del proyecto puede tener consecuencias mucho más allá del propio proyecto. En este caso, las actualizaciones maliciosas estuvieron activas solo durante unas tres horas antes de ser retiradas, pero esa ventana aún pudo haber sido suficiente para infectar miles de sistemas.
El ataque fue documentado en un análisis post-mortem por Jason Saayman, quien mantiene el proyecto y expuso la cronología del compromiso. Según Saayman, los atacantes comenzaron a atacarlo unas dos semanas antes de que obtuvieran el control de su computadora y la usaran para publicar código malicioso.
Una estafa prolongada basada en la confianza
La operación se basó menos en la fuerza bruta que en la paciencia. Saayman dijo que los atacantes se hicieron pasar por una empresa real, crearon un espacio de trabajo de Slack convincente y lo llenaron con perfiles de empleados falsos para que el engaño pareciera legítimo. Luego lo invitaron a una reunión web que le pidió que descargara malware disfrazado de una actualización necesaria para unirse a la llamada.
Saayman dijo que el señuelo coincidía con una técnica previamente asociada con hackers norcoreanos e identificada por investigadores de seguridad de Google: un enfoque de ingeniería social que convence a los objetivos de instalar software que otorga a los atacantes acceso remoto. En este caso, ese acceso parece haber sido la clave para impulsar las versiones maliciosas de Axios.
El incidente ilustra por qué los mantenedores de código abierto se han convertido en objetivos de tan alto valor. Los proyectos populares a menudo son mantenidos por pequeños equipos o incluso por un solo desarrollador, sin embargo, pueden estar integrados en innumerables aplicaciones y servicios. Eso convierte los dispositivos personales de los mantenedores en un punto de entrada atractivo para los atacantes que buscan comprometer el software a gran escala.
El riesgo se extiende mucho más allá de un solo proyecto
Protege tu privacidad con Doppler VPN
3 días de prueba gratis. Sin registro. Sin registros.
Los paquetes maliciosos de Axios fueron eliminados rápidamente, pero no antes de que tuvieran la oportunidad de propagarse. Cualquier sistema que instalara una de las versiones comprometidas durante la breve ventana de exposición pudo haber sido vulnerable al robo de claves privadas, credenciales y contraseñas almacenadas en esa máquina. Esos secretos robados pueden luego usarse para profundizar en otros sistemas y servicios, convirtiendo un incidente de la cadena de suministro de software en una brecha más amplia.
Esa posibilidad es lo que hace que este tipo de ataque sea tan preocupante. La víctima inmediata puede ser la computadora portátil de un desarrollador o un único repositorio de paquetes, pero el objetivo final puede ser mucho más amplio: los usuarios y las organizaciones que confían en el proyecto como parte de su propia pila de software.
El incidente de Axios también encaja en un patrón más amplio. Los hackers norcoreanos siguen siendo una de las ciberamenazas más activas en internet, y se les ha vinculado repetidamente con operaciones que combinan ingeniería social, robo de credenciales y malware de acceso remoto. Sus campañas a menudo difuminan la línea entre el espionaje y el crimen con motivaciones financieras, siendo el robo de criptomonedas una parte frecuente de la mezcla.
Un manual conocido, una advertencia mayor
Lo que hace que este último compromiso destaque no es solo el objetivo, sino la forma metódica en que se desarrolló. Los atacantes no se limitaron a explotar una falla técnica en el código del proyecto. Invirtieron tiempo en construir una identidad creíble, ganarse la confianza del mantenedor y, finalmente, obtener acceso a la máquina utilizada para publicar actualizaciones oficiales.
Ese enfoque resalta una difícil realidad para los ecosistemas de código abierto: la seguridad del software ampliamente utilizado depende no solo de la revisión del código y el monitoreo de paquetes, sino también de las defensas personales de las personas que mantienen el código. A medida que los hackers patrocinados por estados y los grupos criminales continúan atacando a esos mantenedores, la propia cadena de suministro se convierte en una primera línea en el conflicto cibernético.
Saayman no respondió de inmediato a las preguntas de seguimiento sobre el incidente. El alcance total del compromiso aún se está evaluando, pero la lección ya está clara: cuando el software de confianza es secuestrado, el radio de acción puede extenderse mucho más allá del proyecto que fue violado.
Fuentes: