axios sufre ataque a la cadena de suministro: dos nuevas versiones introducen dependencias maliciosas, se recomienda revertir inmediatamente

Según el monitoreo de 1M AI News, el equipo de investigación de la empresa de seguridad de la cadena de suministro Socket divulgó hoy que la popular biblioteca de solicitudes HTTP en JavaScript axios fue objeto de un ataque a la cadena de suministro. Las dos nuevas versiones publicadas (v1.14.1 y v0.30.4) incluyen dependencias maliciosas, y estas dos versiones no aparecen en el historial de lanzamientos oficiales de axios en el GitHub de la empresa, lo que se desvía del proceso normal de publicación de este proyecto.

Ambas versiones introducen el paquete malicioso plain-crypto-js@4.2.1. Este paquete malicioso se publicó a las 3 de marzo (30) a las 23:59:12 UTC, y la detección automatizada de Socket lo marcó aproximadamente 6 minutos después. Socket señaló que este momento coincide estrechamente con el lanzamiento de las nuevas versiones de axios, lo que sugiere que las dependencias maliciosas se entregaron de manera coordinada con el lanzamiento de axios. La cuenta de npm asociada al paquete malicioso es jasonsaayman; Socket afirma que esto genera preocupación por «publicaciones no autorizadas o cuentas comprometidas».

Socket recomienda a los desarrolladores que revisen de inmediato las dependencias del proyecto y el lockfile para verificar si incluyen axios@1.14.1, axios@0.30.4 o plain-crypto-js@4.2.1; si se encuentra cualquiera de estos, retroceder inmediatamente a una versión conocida como segura. El incidente sigue en investigación.