Unit 42 describe un ataque a la cadena de suministro con alcance internacional que afectó a múltiples sectores a través de Axios, una biblioteca JavaScript muy extendida para comunicaciones HTTP. La intrusión comenzó con el robo de la cuenta npm del mantenedor, lo que permitió publicar las versiones maliciosas v1.14.1 y v0.30.4.
Estas actualizaciones incorporaron de forma oculta la dependencia plain-crypto-js@4.2.1. Según el análisis, esa pieza actuaba como un troyano de acceso remoto con capacidad de reconocimiento e instalación persistente en sistemas Windows, macOS y Linux, ampliando el daño potencial mucho más allá del momento de la descarga inicial.
El caso ilustra cómo un compromiso en un paquete ampliamente adoptado puede convertirse en un vector transversal para organizaciones de distintos sectores y geografías, incluso cuando el cambio malicioso llega disfrazado de actualización legítima.