Hackeo Corea del Norte: Proyecto Crítico Comprometido

El 31 de marzo de 2026, hackers norcoreanos del grupo UNC1069 comprometieron Axios, una de las librerías JavaScript más usadas globalmente (80+ millones de descargas semanales), publicando versiones maliciosas que fueron detectadas después de 3 horas. El ataque tomó semanas de preparación basadas en ingeniería social sofisticada, incluyendo una empresa falsa, Slack workspace falso y perfiles de empleados fake para engañar al mantenedor.

Axios es una librería JavaScript/Node.js que simplifica las peticiones HTTP. Es el cliente HTTP más popular en npm y se usa en decenas de millones de aplicaciones web, sitios React, Angular, Vue, y servicios backend en todo el mundo. Sin exageración: si abrís cualquier sitio moderno en tu navegador, casi seguro que hay Axios detrás de las peticiones.

¿Qué es Axios y por qué es un blanco tan valioso?

Imaginate que tenés que hacer peticiones HTTP desde JavaScript. Sin Axios, escribís boilerplate tedioso. Con Axios, hacés axios.get(url) y listo. Es tan simple y tan útil que llegó a 80+ millones de descargas semanales (sí, SEMANALES). Eso significa que cualquier máquina que descargue Axios en una semana cualquiera de 2026 está usando una de las 10 dependencias más críticas del ecosistema npm.

¿Y por qué eso importa para alguien en Moscú o Pyongyang? Porque si logras meter malware en Axios, tus manos están en millones de computadoras. Startups, grandes empresas, freelancers, servidores en AWS, desarrollo local — si usan Node.js y hacen peticiones HTTP, casi con certeza usan Axios. No hay un blanco más valioso en npm.

La ingeniería social: el verdadero arma del ataque

Acá viene lo que hace este ataque diferente de un hack cualquiera. Los de UNC1069 no explotaron una vulnerabilidad de seguridad en npm ni rompieron encriptación. Hicieron algo más simple y más efectivo: convencieron a Jason Saayman, el mantenedor de Axios, de que bajara malware.

Cronología real según TechCrunch: alrededor de 2 semanas antes del 31 de marzo, los hackers comenzaron a construir rapport. Crearon una empresa falsa (legítima en apariencia, con sitio web y todo), un workspace de Slack realista con perfiles de empleados fake, y pasaron días o semanas interactuando con Saayman para ganar su confianza. Luego lo invitaron a una reunión web que requería, obviamente, descargar un “update” para acceder a la llamada. Ese update era malware.

Ponele que vos recibís un mensaje de alguien que ha estado interactuando contigo durante 2 semanas, con perfil profesional, de una empresa que parece legítima — te pide que descargues algo para una reunión. ¿Lo descargás? La mayoría de las personas sí. Y eso es exactamente lo que pasó.

Cronología del ataque: 31 de marzo, entre las 00:21 y 03:20 UTC

Después de comprometer la computadora de Saayman (probablemente con acceso remoto total gracias al malware), los hackers accedieron a su cuenta npm. Según el análisis de Google Cloud, publicaron dos versiones maliciosas casi simultáneamente: Axios 1.14.1 y 0.30.4. Ambas contenían el backdoor WAVESHAPER.V2.

Lo importante: npm no detectó nada sospechoso de inmediato. Las versiones parecían legítimas, tenían números de versión razonables, fueron subidas por la cuenta correcta del mantenedor (porque estaba comprometida). Comenzaron a descargarse. 3 horas después, fue detectado el problema. En esas 3 horas, el malware se propagó a decenas de millones de descargas.

Saayman mismo contactó a npm y a Google. El equipo de seguridad actuó rápido: revirtieron las versiones, retiraron los paquetes de npm, emitieron alertas. Pero el daño — en potencial — ya estaba hecho. Esto se conecta con lo que analizamos en vulnerabilidades de seguridad en plataformas de código.

WAVESHAPER.V2: el backdoor silencioso

El malware inyectado en Axios no es un virus ruidoso que crashea tu sistema. Es un backdoor diseñado para:

• Robar datos: archivos, variables de entorno (incluyendo API keys y tokens de criptomonedas)
• Acceso remoto: permitir que los atacantes ejecuten comandos en tu máquina
• Auto-destrucción: diseñado para limpiar rastros y ser difícil de detectar después

La dependencia falsa inyectada se llamaba [email protected]. Parece legítima (hay librerías reales de crypto en npm), pero esta en particular fue creada por los atacantes. Funciona en Windows, macOS y Linux — básicamente, en cualquier lugar donde corra Node.js.

¿Cuál es el objetivo? Apunta directamente a billeteras de criptomonedas. Si en tu máquina está corriendo un servicio que toca crypto — un exchange, un nodo, una wallet, un bot de trading — WAVESHAPER.V2 lo vería.

¿A cuánta gente afectó en realidad?

Aquí es donde el escalafrío real llega. 80+ millones de descargas semanales. En 3 horas, antes de que se detuviese, ¿cuántas máquinas se infectaron? Google estima que fueron potencialmente millones. No todas las que descargaron Axios durante esas 3 horas, porque algo de gente descarga desde cache o usa versiones fijas en package-lock.json. Pero suficientes.

Quién pudo estar afectado (spoiler: casi cualquiera): desarrolladores individuales actualizando dependencias, startups de tech, bancos con aplicaciones Node.js, plataformas de ecommerce, servicios fintech, agencias de desarrollo. Literalmente, cualquiera que hiciera npm update o npm install durante esas 3 horas en 31 de marzo se llevaba la versión maliciosa.

Google atribuyó el ataque al grupo UNC1069, conocido por operaciones dirigidas contra entidades cripto. Pero hay algo importante: UNC1069 típicamente ataca Exchange cripto grandes. Este ataque es diferente porque no atacó un exchange específico — atacó la cadena de suministro completa de desarrolladores.

Cómo verificar si tu código está comprometido

Paso 1: revisá tu archivo package-lock.json o yarn.lock. Buscá la línea que mencione Axios y el número de versión instalado. Si tenés 1.14.1 o 0.30.4 de la fecha 31 de marzo de 2026, hay chances de que al momento del build tuvieras la versión maliciosa. Tema relacionado: cómo elegir una plataforma segura para tus proyectos.

Paso 2: si es así, no entres en pánico. La mayoría de los desarrolladores está en una situación donde: (a) nunca re-corrieron npm install después del 31 de marzo, así que el malware nunca fue descargado, o (b) ya lo actualizaron sin darse cuenta. Pero verificá.

Paso 3: actualización segura. Downgradea a Axios 1.14.0 o 0.30.3, las versiones anteriores confirmadas como limpias. Comando: npm install [email protected] o la versión que uses. O si está en package.json, editá el número de versión y corre npm install de nuevo.

Paso 4: hacé npm audit para ver si hay otras vulnerabilidades. Y considerá auditar el resto de tus dependencias — si alguien puede hackear Axios, puede hackear otros packages.

¿Por qué North Korea ataca open source? La conexión cripto

North Korea está bajo sanciones económicas brutales. El programa nuclear cuesta dinero. ¿Dónde consiguen dinero? Históricamente, han robado de bancos, exchanges cripto, plataformas fintech. Pero eso es ataque directo.

Este ataque a Axios es diferente: es un ataque a la cadena de suministro. Si lográs infectar máquinas de desarrolladores que tocan cripto — exchanges, servicios fintech, wallets — tus manos están adentro de sistemas que manejan millones en activos digitales.

UNC1069 tiene un historial de esto. Según reportes, el grupo ha atacado exchanges DeFi, servicios de custodio de cripto, incluso exchanges centralizados pequeños. Este ataque a Axios es solo escala.

¿Confirmado? Google atribuye el ataque a UNC1069 basado en OSINT, patrones de código y TTPs (tácticas, técnicas, procedimientos). Pero es importante aclarar: Google tiene acceso a data que la mayoría no tiene. Para todos nosotros, la atribución es creíble pero no verificable de forma independiente. Relacionado: implementar controles de seguridad en equipos.

Qué está confirmado / Qué no

Confirmado:

• El 31 de marzo de 2026, las versiones 1.14.1 y 0.30.4 de Axios fueron publicadas con malware
• Las versiones fueron detectadas y removidas de npm en aproximadamente 3 horas
• El malware es WAVESHAPER.V2, un backdoor conocido
• La ingeniería social incluía empresa falsa, Slack workspace falso, perfiles fake
• Jason Saayman fue el vector de compromiso (descargó malware de una reunión web fake)
• Axios es descargado 80+ millones de veces por semana

Pendiente de confirmación:

• Cifra exacta de máquinas comprometidas (Google ha sido vaga, probablemente por razones de seguridad operacional)
• Si UNC1069 logró acceder efectivamente a billeteras de cripto durante esas 3 horas (todavía se investiga)
• Si otros mantenedores de npm fueron atacados de la misma forma y simplemente no lo reportaron público
• Confirmación de que fue exactamente el programa nuclear lo que financiaba (es la teoría, no está 100% confirmado)

Errores comunes que la gente comete después de saber esto

Error 1: asumir que porque lo detectaron en 3 horas, no pasó nada

3 horas es mucho tiempo en internet. Millones de máquinas descargaron código. Si vos estabas en producción y hiciste npm install esas 3 horas, traer la versión maliciosa fue posible. No importa que después se haya retirado. El daño potencial ocurrió.

Error 2: limpiar solo Axios sin auditar el resto de dependencias

Si North Korea puede hackear Axios, ¿por qué no pueden hackear otro package? La lección acá no es “confía en Axios ahora”, es “el open source tiene un problema de seguridad de cadena de suministro”. Deberías auditar más, no menos.

Error 3: cambiar tu setup completamente porque “npm no es seguro”

npm no es perfecto. Pero cambiar a otro package manager (yarn, pnpm, bun) no te salva de esto. El problema no es npm — es que cualquier package que hagas instalar puede estar comprometido si su mantenedor fue hackeado. Eso es válido en cualquier package manager.

Preguntas Frecuentes

¿Qué es Axios exactamente?

Una librería JavaScript que simplifica peticiones HTTP. Si necesitás que tu aplicación web o backend Node.js hable con un servidor (API), Axios te deja hacer axios.get(url) en vez de escribir boilerplate largo. Es el cliente HTTP más popular en npm.

¿Si actualicé Axios después del 31 de marzo, estoy seguro?

Probablemente sí, si re-corriste npm install después de que se detectó el ataque. Pero revisá tu package-lock.json para confirmarlo. Si ves Axios 1.14.1 o 0.30.4, considera hacer downgrade a versiones anteriores o actualizar a versiones posteriores confirmadas como limpias.

¿Cómo hacen ingeniería social tan sofisticada los hackers norcoreanos?

Tiempo y recursos. El gobierno norcoreano financia operaciones cibernéticas estatales. Contratan gente para que gaste semanas ganando confianza, crean infraestructura falsa realista (empresa falsa, workspace de Slack falso, perfiles fake). Para ellos no es gasto — es inversión en robo de cripto.

¿Hay algo que npm/GitHub debería haber hecho para prevenir esto?

Sí, varias cosas: autenticación 2FA obligatoria para mantenedores de packages populares, firmas criptográficas en cada publicación, auditoría de cambios antes de publicar en packages con X millones de descargas semanales. npm ya está implementando algunas de estas, pero tardaron. Ya lo cubrimos antes en alternativas locales para reducir riesgos externos.

¿Esto puede pasar nuevamente?

Sí. A menos que npm y los mantenedores comiencen a verificar publicaciones de packages críticos de forma más rigurosa, la cadena de suministro de software sigue siendo un blanco gigante. Especialmente para gobiernos con recursos para hacer ingeniería social sofisticada.

Qué significa para desarrolladores en Latinoamérica

Si estás en una startup fintech, un proyecto de crypto, o simplemente un servicio que usa Axios (que es casi todos), esto es relevante. North Korea no distingue entre Argentina, Brasil o cualquier otro país — el objetivo es el código abierto global. Estás exponiendo tus dependencias al mismo riesgo que cualquiera en San Francisco.

Lo importante es: no confíes ciegamente en los packages. Mantén npm audit como parte de tu flujo. Considera usar herramientas como Dependabot, Snyk o Trivy para detectar vulnerabilidades. Y si editas npm packages, usa 2FA. No seas el siguiente Saayman.

Lecciones para la industria: cómo proteger open source

Este ataque expone un problema estructural: npm es crítica para el software global, pero sus medidas de seguridad están al nivel de inicio de los 2010. Necesita:

• 2FA obligatorio para cualquiera que publique packages con más de X millones de descargas mensuales. Así los hackers no pueden simplemente comprometer un usuario y publicar.
• Signing de paquetes con criptografía. Cada package publicado debería estar firmado. Si alguien publica como vos pero con diferente firma criptográfica, se detecta.
• Auditoría de cambios para packages críticos. Si el mantenedor de Axios cambia código de dependencias, debería requerer revisión humana de alguien de npm antes de publicar.
• Alertas en tiempo real a usuarios cuando se publica una versión. Muchos desarrolladores ni enterados estaban del ataque.
• Verificación de identidad más rigurosa. North Korea creó una empresa y workspace de Slack fake. Acá npm no puede hacer mucho, pero el problema es real.

Google, Apple, Microsoft, Amazon — todos tienen buenas prácticas de cadena de suministro. npm necesita alcanzar ese nivel. La alternativa es lo que pasó: millones de máquinas potencialmente comprometidas.

Conclusión

El ataque a Axios el 31 de marzo de 2026 fue sofisticado, bien coordinado y fundamentalmente diferente de la mayoría de los hacks de seguridad que ves. No fue un exploit — fue ingeniería social. North Korea pasó semanas construyendo confianza para instalar un backdoor que roba cripto.

¿Qué cambió? La percepción de que open source es “seguro porque es revisado por muchos”. La verdad es más matizada: open source puede ser revisado, pero sus mantenedores pueden ser comprometidos. Y cuando se compromete un mantenedor de un package crítico, las consecuencias son globales.

¿Qué hacer? Primero, verificá si estabas afectado. Segundo, audita tus dependencias regularmente — no solo Axios, sino todo. Tercero, presiona a npm y a GitHub para que mejoren seguridad de cadena de suministro. Y cuarto, si sos mantenedor de algo popular, activa 2FA ya.

Fuentes

• North Korea’s hijack of one of the web’s most used open source projects was likely weeks in the making – TechCrunch
• North Korea threat actor targets Axios npm package – Google Cloud Blog
• North Korean hackers linked to Axios npm supply chain compromise – Help Net Security
• Google Attributes Axios npm Supply Chain Compromise to North Korean Threat Group – The Hacker News
• North Korea-Linked Hackers Suspected in Axios Open Source Hijack, Google Analysts Say – NextGov