Un ataque de cadena de suministro afecta a las versiones npm de Axios, se insta a los usuarios a rotar claves

Dos versiones maliciosas de Axios en npm han provocado advertencias para que los desarrolladores roten credenciales. Los paquetes comprometidos, axios@1.14.1 y axios@0.30.4, fueron modificados para incluir una dependencia maliciosa.

Esta dependencia, plain-crypto-js@4.2.1, se ejecutaba automáticamente durante la instalación. El código alterado puede dar a los atacantes acceso remoto para robar datos sensibles como credenciales y claves de carteras de criptomonedas.

Las empresas de seguridad instan a auditar los sistemas y rotar inmediatamente todas las credenciales. Esto incluye claves API y tokens de sesión, tratando los sistemas afectados como totalmente comprometidos.

Incidentes anteriores en cripto subrayan los riesgos de la cadena de suministro. Una brecha en Trust Wallet en diciembre, posiblemente por un paquete npm comprometido, resultó en pérdidas de unos $7 millones en más de 2,500 carteras.