El compromiso de Axios vuelve a poner bajo presión a la cadena de suministro del ecosistema JavaScript, pero esta vez con una amplitud especialmente alarmante por el peso del paquete afectado. Según Trend Micro, atacantes utilizaron credenciales npm robadas para publicar versiones maliciosas de uno de los clientes HTTP más extendidos del ecosistema, introduciendo una dependencia fantasma capaz de desplegar malware persistente en macOS, Windows y Linux.
El detalle técnico más delicado es la combinación de sigilo y alcance. Las versiones comprometidas incluyeron plain-crypto-js@4.2.1, una dependencia que activaba un hook postinstall para ejecutar la cadena maliciosa y luego borrar parte de su rastro reemplazando archivos con versiones limpias. Esa mecánica no solo buscaba infectar, sino también dificultar el trabajo posterior de análisis y respuesta.
La historia importa porque Axios no es una biblioteca marginal. Es una pieza básica dentro de miles de proyectos y flujos CI/CD, lo que convierte cualquier manipulación en un evento con un blast radius enorme. Además, el hecho de que la publicación manual evitara ciertos controles automáticos refuerza una lección que el ecosistema ya conoce, pero sigue aprendiendo a golpes: la confianza en pipelines y automatizaciones no sustituye la vigilancia sobre cuentas, dependencias y procesos de release.
En el fondo, el caso Axios no es solo una brecha en npm. Es un recordatorio de que una sola credencial comprometida puede contaminar software consumido a escala global.