El 31 de marzo de 2026, Microsoft Threat Intelligence identificó como maliciosas dos versiones del paquete Axios publicadas en npm: la 1.14.1 y la 0.30.4. Ambas incluían una dependencia falsa utilizada para descargar cargas útiles desde dominios de mando y control asociados a Sapphire Sleet, un actor estatal norcoreano.
El caso es especialmente sensible porque Axios es un componente ampliamente utilizado en aplicaciones JavaScript, tanto del lado del cliente como del servidor. Eso amplía de inmediato la superficie de exposición y convierte la respuesta rápida en un requisito operativo: identificar instalaciones afectadas, contener la ejecución del paquete comprometido y rotar secretos potencialmente expuestos.
La entrada de Microsoft se centra en la mitigación, pero también funciona como recordatorio de un problema más amplio: cuando una dependencia ubicua se compromete, el impacto potencial se propaga mucho más allá del paquete original.