El mantenedor del paquete **Axios** de npm ha confirmado un compromiso de la cadena de suministro derivado de un ataque de ingeniería social dirigido, atribuido a actores de amenaza norcoreanos rastreados como **UNC1069**. ### Un Engaño Cuidadosamente Elaborado **Jason Saayman**, el mantenedor, declaró que los atacantes adaptaron sus esfuerzos específicamente para él, haciéndose pasar inicialmente por el fundador de una empresa legítima. Clonaron la imagen del fundador y la marca de la empresa. "Habían clonado la imagen de los fundadores de la empresa, así como la empresa misma", dijo Saayman en un análisis post-mortem. "Luego me invitaron a un espacio de trabajo real de Slack. Este espacio de trabajo estaba diseñado con la identidad visual de la empresa y nombrado de manera plausible. El [espacio de trabajo] de Slack fue muy bien pensado; tenían canales donde compartían publicaciones de LinkedIn". ### Compromiso a través de Falsa Actualización Los atacantes programaron una reunión en **Microsoft Teams**. Durante la llamada, a Saayman se le presentó un mensaje de error falso que indicaba un componente de sistema obsoleto. Al activar la actualización, se desplegó un troyano de acceso remoto. Este troyano otorgó a los atacantes acceso para robar credenciales de cuentas de npm, permitiéndoles publicar dos versiones troyanizadas del paquete Axios de npm (1.14.1 y 0.30.4) que contenían un implante llamado WAVESHAPER.V2. "Todo estuvo extremadamente bien coordinado, parecía legítimo y se hizo de manera profesional", agregó Saayman.  *Fuente: **Kaspersky*** ### Ecos de Campañas Anteriores La cadena de ataque comparte similitudes con tácticas asociadas a UNC1069 y BlueNoroff. Campañas anteriores, documentadas por **Huntress** y Kaspersky (bajo el nombre GhostCall), implicaron mostrar mensajes de error falsos durante llamadas y solicitar a los usuarios que descargaran SDKs maliciosos de Zoom o Teams a través de pop-ups tipo ClickFix. Estas acciones llevaron a la ejecución de scripts AppleScript (para macOS) o PowerShell (para Windows). ### CosmicDoor y SilentSiphon Un payload malicioso desplegado en estos ataques es un backdoor para macOS basado en Nim (o una variante en Go para Windows) llamado CosmicDoor. Este backdoor entrega un conjunto completo de robo de información denominado SilentSiphon para capturar credenciales de navegadores web, gestores de contraseñas y secretos relacionados con GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust argo y .NET NuGet. ### Panorama de Amenazas en Evolución "Históricamente, [...] estos tipos específicos han ido tras fundadores de criptomonedas, VCs, personas públicas", dijo la investigadora de seguridad Taylor Monahan. "Los manipulan socialmente, toman el control de sus cuentas y apuntan a la siguiente ronda de personas. Esta evolución hacia el ataque a [mantenedores de OSS] es un poco preocupante en mi opinión". ### Pasos de Mitigación Saayman ha descrito varias medidas preventivas, que incluyen restablecer todos los dispositivos y credenciales, configurar lanzamientos inmutables, adoptar el flujo OIDC para la publicación y actualizar GitHub Actions para alinearse con las mejores prácticas. ### El Creciente Riesgo para el Código Abierto Estos hallazgos subrayan la creciente tendencia de ataques sofisticados dirigidos a mantenedores de proyectos de código abierto. Al comprometer a los mantenedores, los atacantes pueden dirigirse efectivamente a los usuarios posteriores a gran escala publicando versiones envenenadas de paquetes ampliamente utilizados. Con Axios atrayendo casi 100 millones de descargas semanales y estando fuertemente integrado en el ecosistema de JavaScript, el impacto potencial de un ataque a la cadena de suministro de este tipo es significativo, propagándose rápidamente a través de dependencias directas y transitivas. "Un paquete tan ampliamente utilizado como Axios siendo comprometido muestra lo difícil que es razonar sobre la exposición en un entorno moderno de JavaScript", dijo Ahmad Nassri de **Socket**. "Es una propiedad de cómo funciona hoy en día la resolución de dependencias en el ecosistema."