El 31 de marzo de 2026, Microsoft identificó dos nuevas versiones del paquete npm Axios (1.14.1 y 0.30.4) como maliciosas. Estos paquetes contienen una dependencia oculta que descarga cargamentos de segundo nivel desde servidores de comando y control. Se atribuye este incidente a la agencia estatal norcoreana Sapphire Sleet, conocida por sus ataques en cadena.
Mitigating the Axios npm supply chain compromise
Summary: Microsoft revela que dos nuevas versiones de Axios npm, lanzadas el 31 de marzo de 2026, contienen malware y son atribuidas a la agencia estatal norcoreana Sapphire Sleet.
Key facts
- Se identificaron dos nuevas versiones de Axios npm como maliciosas (1.14.1 y 0.30.4)
- El malware descarga cargamentos de segundo nivel desde servidores de comando y control
- La agencia estatal norcoreana Sapphire Sleet es la responsable del incidente
Why it matters
Este incidente demuestra cómo los actores de amenazas pueden utilizar paquetes de código abierto populares para comprometer sistemas a gran escala. Las organizaciones deben estar alertas y verificar las versiones de sus dependencias npm.