Se sospecha que la cadena de suministro de axios fue atacada por hackers norcoreanos; el objetivo apunta a las activos criptográficos de las empresas

La agencia de seguridad en línea de Google, Mandiant, confirmó que un presunto grupo de hackers norcoreano es responsable del incidente de ataque a la cadena de suministro de axios de este martes. Los atacantes comprometieron la cuenta del desarrollador que administra el software de código abierto axios y, dentro de una ventana de aproximadamente tres horas el martes por la mañana, enviaron actualizaciones maliciosas a todas las organizaciones que descargaron ese software. El objetivo era robar activos cifrados de las empresas para financiar los programas de armas nucleares y misiles de Corea del Norte.

Detalles de la ejecución del ataque: un golpe de cadena de suministro preciso de tres horas

La acción de los hackers mostró la alta eficiencia de los ataques a la cadena de suministro de software. Los atacantes primero obtuvieron el control de la cuenta del desarrollador del software de código abierto axios y, de inmediato, disfrazaron una versión con código malicioso como una actualización oficial enviándola mediante una identidad legítima. Durante esa ventana de tres horas, cualquier sistema automatizado de cualquier organización, al realizar actualizaciones rutinarias, desplegará sin saberlo esa versión con puertas traseras.

Ben Read, director de inteligencia de amenazas estratégicas de la empresa Wiz de Google, señaló: «Corea del Norte no se preocupa por su reputación ni por ser identificada finalmente; por eso, aunque estas acciones sean muy llamativas, siguen dispuestos a pagar ese tipo de precio».

El investigador de seguridad John Hammond, de Huntress, también afirmó que el momento de este ataque fue «justo a tiempo», apuntando directamente a que las organizaciones están adoptando en gran cantidad agentes de IA para el desarrollo de software, «sin ningún tipo de revisión ni restricciones», lo que hace que las vulnerabilidades en la cadena de suministro sean más fáciles de explotar de manera sistemática.

Hallazgos de la investigación: alcance de las víctimas y direcciones futuras de ataque

La investigación actual revela una amenaza multidimensional:

Equipos afectados: Huntress ha identificado alrededor de 135 equipos comprometidos, pertenecientes a unas 12 empresas; se estima que es solo una pequeña parte del alcance real de las víctimas

Tiempo de evaluación: Mandiant, el director de tecnología Charles Carmakal, advierte que una evaluación completa del impacto de este ataque podría requerir varios meses

Dirección del siguiente ataque: Mandiant espera que los atacantes utilicen las credenciales robadas y los permisos de acceso al sistema para apuntar aún más a los activos cifrados de las empresas e implementar robos

Vulnerabilidad en la cadena de suministro: Hammond señaló que «demasiada gente ya no presta atención a los componentes del software que usa, y eso crea una gran brecha para toda la cadena de suministro»

Antecedentes históricos: una actualización sistemática del robo digital de Corea del Norte

El ataque a axios fue el caso más reciente de infiltración sistemática de Corea del Norte en los sistemas de cadena de suministro de software. Hace tres años, presuntos agentes norcoreanos se infiltraron en otro proveedor de software de voz y video muy popular; el año pasado, hackers norcoreanos robaron criptomonedas por valor de 1.500 millones de dólares en un solo ataque, estableciendo un récord histórico para los casos de piratería cripto de ese momento.

Los informes de las Naciones Unidas y de varias organizaciones privadas muestran que, en los últimos años, los hackers norcoreanos han robado decenas de miles de millones de dólares a bancos y empresas de criptomonedas. En 2023, funcionarios de la Casa Blanca revelaron que aproximadamente la mitad del financiamiento del programa de misiles de Corea del Norte provino de este tipo de robo digital, lo que otorga a esta amenaza de seguridad un significado estratégico internacional directo.

Preguntas frecuentes

¿Qué es axios y por qué se convirtió en el objetivo de este ataque a la cadena de suministro?

axios es un paquete central de JavaScript npm de uso generalizado (la versión atacada es 1.14.1). Ayuda a los desarrolladores a gestionar solicitudes HTTP de sitios web y es adoptado por miles de empresas de salud, finanzas y tecnología. Su volumen de descargas extremadamente alto lo convierte en un objetivo de alto valor para los ataques a la cadena de suministro: al comprometer la cuenta de un desarrollador, se puede enviar código malicioso a una gran cantidad de organizaciones de forma simultánea en cuestión de pocas horas.

¿Qué riesgos concretos implica este ataque para las empresas de criptomonedas?

La evaluación de Mandiant indica que los atacantes utilizarán las credenciales robadas para volver a ingresar más en las empresas que poseen activos cifrados. Las empresas cripto y tecnológicas que usen la versión infectada de axios podrían, sin saberlo, estar proporcionando al atacante puertas traseras para acceder a los sistemas internos, poniendo en riesgo de robo las llaves privadas de las carteras, las llaves API y las credenciales de transacción.

¿Cómo deberían las empresas evaluar y responder a este ataque a la cadena de suministro de axios?

Se recomienda ejecutar inmediatamente los siguientes pasos: confirmar si la versión de axios en el sistema es la versión atacada; revisar los registros de actualización de software durante el momento en que ocurrió el ataque (la ventana de tres horas el martes por la mañana); escanear si existe acceso anómalo a credenciales o conductas de conexión externa; y contactar a organizaciones de seguridad como Huntress y Mandiant para una evaluación profesional.