Cisco Talos está investigando un ataque de cadena de suministro que ocurrió el 31 de marzo de 2026. Dos versiones maliciosas del popular paquete npm Axios (v1.14.1 y v0.30.4) fueron desplegadas por aproximadamente tres horas. Estas versiones introdujeron una dependencia en tiempo de ejecución falsa que se ejecutó automáticamente durante la instalación, enviando información del sistema operativo a infraestructura controlada por los actores para descargar un cargador específico según el sistema operativo.
En sistemas MacOS, se descargó y ejecutó un archivo binario. En Windows, se copió un ejecutable legítimo y se ejecutó un script ps1 con privilegios ocultos. En Linux, se descargó un backdoor en Python. Se recomienda desplegar versiones anteriores conocidas como seguras (v1.14.0 o v0.30.3) e investigar cualquier sistema que haya descargado la versión comprometida.
Las consecuencias pueden ser graves, ya que los actores exfiltraron credenciales y capacidades de gestión remota. Esto requiere la rotación de credenciales y prevenir el acceso adicional.