Google ha atribuido formalmente el compromiso de la cadena de suministro del popular paquete Axios npm a un grupo de amenazas norcoreano con motivaciones financieras, rastreado como UNC1069. "Hemos atribuido el ataque a un presunto actor de amenazas norcoreano que rastreamos como UNC1069", dijo John Hultquist, analista jefe de Google Threat Intelligence Group (GTIG), a The Hacker News. "Los hackers norcoreanos tienen una profunda experiencia en ataques a la cadena de suministro, que históricamente han utilizado para robar criptomonedas. El alcance completo de este incidente aún no está claro, pero dada la popularidad del paquete comprometido, esperamos que tenga impactos de gran alcance".
El ataque ocurrió después de que actores de amenazas tomaran el control de la cuenta npm del mantenedor del paquete para publicar dos versiones troyanizadas, 1.14.1 y 0.30.4, que introducían una dependencia maliciosa llamada "plain-crypto-js" para entregar un backdoor multiplataforma capaz de infectar sistemas Windows, macOS y Linux. En lugar de introducir cambios de código en Axios, el ataque aprovecha un gancho postinstall dentro del archivo "package.json" de la dependencia maliciosa para lograr una ejecución sigilosa. Una vez que se instala el paquete Axios comprometido, npm activa automáticamente la ejecución del código malicioso en segundo plano.
Específicamente, el paquete "plain-crypto-js" funciona como un "vehículo de entrega de payloads" para un droplet JavaScript ofuscado denominado SILKBELL ("setup.js"), que obtiene la siguiente etapa apropiada de un servidor remoto según el sistema operativo de la víctima. Como se detalló anteriormente en The Hacker News, la rama de ejecución de Windows entrega malware PowerShell, un binario Mach-O C++ para macOS y un backdoor Python para sistemas Linux. El droplet también realiza una limpieza para eliminarse a sí mismo y reemplazar el archivo "package.json" del paquete "plain-crypto-js" con una versión limpia que no tiene el gancho postinstall.
El backdoor, con nombre en código WAVESHAPER.V2, se evalúa como una versión actualizada de WAVESHAPER, un implante C++ implementado por UNC1069 en ataques dirigidos al sector de las criptomonedas. El actor de amenazas ha estado operativo desde 2018. Los vínculos del ataque a la cadena de suministro con UNC1069 fueron señalados por primera vez por Elastic Security Labs, citando superposiciones de funcionalidades.
Las tres variantes de WAVESHAPER.V2 admiten cuatro comandos diferentes, mientras se comunican con el servidor de comando y control (C2) en intervalos de 60 segundos: kill (para terminar el proceso de ejecución del malware), rundir (para enumerar listados de directorios, junto con rutas de archivo, tamaños y marcas de tiempo de creación/modificación), runscript (para ejecutar AppleScript, PowerShell o comandos de shell según el sistema operativo) y peinject (para decodificar y ejecutar binarios arbitrarios).
"WAVESHAPER.V2 es una evolución directa de WAVESHAPER, un backdoor de macOS y Linux previamente atribuido a UNC1069", dijeron Mandiant y GTIG. "Mientras que el WAVESHAPER original utiliza un protocolo C2 binario ligero y crudo y emplea empaquetado de código, WAVESHAPER.V2 se comunica usando JSON, recopila información adicional del sistema y admite más comandos de backdoor". "A pesar de estas mejoras, ambas versiones aceptan su URL C2 dinámicamente a través de argumentos de línea de comandos, comparten comportamientos de sondeo C2 idénticos y una cadena User-Agent poco común, y despliegan payloads secundarios en directorios temporales idénticos (por ejemplo, /Library/Caches/com.apple.act.mond)".
Los vínculos con Corea del Norte también se ven reforzados por el hecho de que el binario de macOS hace referencia a rutas de compilación de desarrollador como "Jain_DEV/client_mac/macWebT/macWebT", donde "macWebT" se vincula directamente con el módulo "webT" de BlueNoroff de las campañas de malware RustBucket y Hidden Risk en 2023 y 2024, según el investigador Giuseppe Massaro.
Taylor Long, analista senior de GTIG, dijo a The Hacker News que el uso de ataques a la cadena de suministro no es una estrategia nueva para los actores de amenazas de la República Popular Democrática de Corea (RPDC). "Varios actores de amenazas de la RPDC tienen un historial de llevar a cabo compromisos en la cadena de suministro y aprovechar paquetes npm maliciosos para el robo de criptomonedas, mientras continúan confiando en técnicas de ingeniería social", agregó Long.
Lo que actualmente no está claro es la motivación detrás de la campaña. Si bien se evalúa que UNC1069 tiene motivaciones financieras, la actividad de ataque derivada del compromiso de Axios no implica explícitamente robo de criptomonedas o despliegue de ransomware. "Actualmente no tenemos suficiente visibilidad de la actividad posterior al compromiso para evaluar su motivación, pero dado lo que sabemos sobre UNC1069 y cómo los actores de amenazas de la RPDC tienen el mandato de generar ingresos, es probable que veamos algunos ataques con motivaciones financieras surgir de esto", dijo Long.
Para mitigar la amenaza, se recomienda a los usuarios auditar los árboles de dependencias en busca de versiones comprometidas (y degradar a una versión segura si se encuentra), fijar Axios a una versión segura conocida en el archivo "package-lock.json" para evitar actualizaciones accidentales, verificar la presencia de "plain-crypto-js" en "node_modules", terminar procesos maliciosos, bloquear el dominio C2 ("sfrclak[.]com", dirección IP: 142.11.206[.]73), aislar los sistemas afectados y rotar todas las credenciales.
"El ataque a Axios debe entenderse como una plantilla, no como un evento único. El nivel de sofisticación operativa documentado aquí, incluidas credenciales de mantenedor comprometidas, payloads previamente preparados para tres sistemas operativos, ambas ramas de lanzamiento afectadas en menos de 40 minutos y autodestrucción forense incorporada, refleja un actor de amenazas que planeó esto como una operación escalable", dijo Tomislav Peričin, arquitecto jefe de software de ReversingLabs, a The Hacker News. "Si esta campaña ahora aparece en PyPI y NuGet, eso es consistente con lo que los mecanismos de ataque ya sugieren: el objetivo era el máximo alcance para desarrolladores. Las organizaciones necesitan auditar no solo sus dependencias npm, sino cada gestor de paquetes que alimente sus tuberías de compilación, y tratar cualquier secreto expuesto en entornos afectados como comprometido, independientemente del registro que hayan tocado".
Actualización
Microsoft ha atribuido el compromiso de la cadena de suministro a un actor de amenazas patrocinado por el estado norcoreano que rastrea como Sapphire Sleet (también conocido como CryptoCore o CageyChameleon), una rama de BlueNoroff (también conocido como Alluring Pisces, APT38, Black Alicanto, Copernicium, Nickel Gladstone, Stardust Chollima y TA444). Se evalúa que ha estado activo desde al menos marzo de 2020. "El actor de amenazas se centra principalmente en el sector financiero, incluidas organizaciones de criptomonedas, capital de riesgo y blockchain", dijo la compañía. "La motivación principal de este actor es robar carteras de criptomonedas para generar ingresos y dirigirse a tecnología o propiedad intelectual relacionada con el comercio de criptomonedas y plataformas blockchain".
CrowdStrike, en su informe, vinculó el incidente con Stardust Chollima con confianza moderada basándose en el despliegue de una variante actualizada de ZshBucket, un malware de macOS previamente identificado como utilizado exclusivamente por el colectivo adversarial. "La variante de macOS observada en este caso reutiliza extensamente código de instancias anteriores, incluidos nombres de funciones", dijo. "Todas las variantes conservan características de instancias anteriores, incluido cómo perfila al usuario y al host del sistema operativo, y cómo envía la información recopilada". La nueva versión de ZshBucket también itera sobre la funcionalidad de su predecesor implementando un protocolo de mensajería común basado en JSON para todas las instancias específicas de la plataforma y agregando comandos que hacen posible cargar payloads binarios, ejecutar scripts y comandos arbitrarios, enumerar el sistema de archivos y terminar remotamente el implante.
Según la compañía de ciberseguridad, el ataque a la cadena de suministro que aprovecha variantes actualizadas de ZshBucket es parte de esfuerzos más amplios realizados por el actor de amenazas para escalar sus campañas. Esto es significativo, no menos porque Stardust Chollima ha demostrado un ritmo operativo aumentado desde finales del cuarto trimestre de 2025. "Las operaciones de Stardust Chollima priorizan la generación de divisas y atacan regularmente a poseedores de criptomonedas, y el adversario también ha llevado a cabo compromisos generalizados en la cadena de suministro que afectan los repositorios npm y PyPI de empresas fintech", agregó. "La motivación del adversario probablemente se alinea con este objetivo de generación de divisas".
Veracode ha encontrado desde entonces evidencia de posible propagación a través de un paquete espejo llamado "@depup/axios" que republicó la versión comprometida de Axios (1.14.1) solo 17 minutos después de su lanzamiento. "Esto indica que el malware fue rápidamente copiado y propagado por sistemas automatizados antes de que pudiera ser eliminado, posiblemente expandiendo su alcance más allá de npm", dijo la compañía en una declaración compartida con The Hacker News. "También subraya que incluso los ataques de cadena de suministro de corta duración pueden persistir a través de paquetes afectados".
Análisis adicionales del incidente de la cadena de suministro de Axios, junto con indicadores de compromiso, han sido publicados por varios proveedores de seguridad, incluidos Aikido Security, Arctic Wolf, Datadog, JFrog, Mondoo, OpenSourceMalware, Orca Security, OX Security, Palo Alto Networks Unit 42, Semgrep, SOCRadar, Sonatype, Sophos, Snyk, Tenable, Trend Micro, Vectra AI y Wiz.
"El compromiso de Axios npm sirve como un claro recordatorio de la naturaleza compuesta de los ataques a la cadena de suministro", dijo Aaron Walton, analista senior de inteligencia de amenazas en Expel, a The Hacker News. "Cuando un paquete central se ve comprometido, la superficie de amenaza se expande exponencialmente para incluir cada dependencia descendente, aplicación y entorno que dependa de él". "Incidentes de alto perfil solo en marzo, incluidos Trivy y LiteLLM, subrayan la creciente frecuencia y gravedad de estas explotaciones. Si bien la comunidad de ciberseguridad y los mantenedores están acelerando sus tiempos de respuesta, incluso una ventana estrecha de exposición puede llevar a una pérdida catastrófica de datos. Los compromisos en la cadena de suministro ya no son eventos 'atípicos'; son una realidad persistente. Las organizaciones deben pasar de una respuesta reactiva a una defensa proactiva para proteger sus propios datos".
