{"id":180332,"date":"2026-04-01T12:42:05","date_gmt":"2026-04-01T19:42:05","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=180332"},"modified":"2026-05-08T12:53:45","modified_gmt":"2026-05-08T19:53:45","slug":"axios-supply-chain-attack","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/","title":{"rendered":"Resumen sobre amenazas: impacto generalizado del ataque a la cadena de suministro de Axios"},"content":{"rendered":"<h2><a id=\"post-180332-_heading=h.g5vp24xv4aox\"><\/a>Resumen ejecutivo<\/h2>\n<p>Los investigadores de Unit\u00a042 observaron el impacto generalizado del ataque significativo a la cadena de suministro dirigido a la biblioteca Axios de JavaScript. El ataque se produjo despu\u00e9s de que la cuenta\u00a0npm de un mantenedor de Axios fuera secuestrada, lo que llev\u00f3 a la publicaci\u00f3n de actualizaciones maliciosas (versiones v1.14.1 y v0.30.4).<\/p>\n<p>Estas versiones comprometidas introdujeron una dependencia oculta llamada<span style=\"font-family: 'courier new', courier, monospace;\"> plain-crypto-js<\/span>. Esta dependencia es un troyano de acceso remoto (RAT) multiplataforma capaz de afectar sistemas Windows, macOS y Linux. El malware se dise\u00f1\u00f3 para realizar tareas de reconocimiento y establecer persistencia, con una funci\u00f3n a\u00f1adida de autodestrucci\u00f3n para lograr la evasi\u00f3n.<\/p>\n<p>Axios es una popular biblioteca cliente HTTP que usa promesas para JavaScript, usada para realizar peticiones API en navegadores y Node.js. Cuenta con transformaci\u00f3n autom\u00e1tica de datos JSON, interceptaci\u00f3n de solicitudes\/respuestas y cancelaci\u00f3n de solicitudes, lo que la convierte en una herramienta est\u00e1ndar para conectar aplicaciones frontend a servicios backend.<\/p>\n<p>El an\u00e1lisis del malware que usaron los atacantes coincide con operaciones que, <a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/unc1069-targets-cryptocurrency-ai-social-engineering\" target=\"_blank\" rel=\"noopener\">seg\u00fan informes previos, involucraban<\/a> a la Rep\u00fablica Popular Democr\u00e1tica de Corea (RPDC).<\/p>\n<p>Esta campa\u00f1a ha afectado a los siguientes sectores en Estados Unidos, Europa, Oriente Medio, el sur de Asia y Australia:<\/p>\n<ul>\n<li>Servicios empresariales<\/li>\n<li>Atenci\u00f3n al cliente<\/li>\n<li>Servicios financieros<\/li>\n<li>Alta tecnolog\u00eda<\/li>\n<li>Educaci\u00f3n superior<\/li>\n<li>Seguros<\/li>\n<li>Medios y entretenimiento<\/li>\n<li>Equipamiento m\u00e9dico<\/li>\n<li>Servicios profesionales y legales<\/li>\n<li>Servicios minoristas<\/li>\n<\/ul>\n<p>En este art\u00edculo, se recomiendan una serie de <a href=\"#post-180332-_heading=h.k0lzslnyokmt\" target=\"_blank\" rel=\"noopener\">mitigaciones para el ataque<\/a>.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos de las amenazas analizadas en este art\u00edculo gracias a los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> y\u00a0<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/agentix\" target=\"_blank\" rel=\"noopener\">Cortex AgentiX<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<\/ul>\n<p>El equipo de <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">respuesta ante incidentes de Unit\u00a042<\/a> tambi\u00e9n puede involucrarse para ayudar con una intrusi\u00f3n o para proporcionar una evaluaci\u00f3n proactiva que permita reducir el riesgo.<\/p>\n<table style=\"width: 98.24%;\">\n<tbody>\n<tr>\n<td style=\"width: 37.2358%;\"><strong>Vulnerabilidades debatidas<\/strong><\/td>\n<td style=\"width: 152.195%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/supply-chain-es-la\/\" target=\"_blank\" rel=\"noopener\"><strong>Cadena de suministro<\/strong><\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/category\/top-cyberthreats-es-la\/\" target=\"_blank\" rel=\"noopener\"><strong>amenazas de alto perfil<\/strong><\/a><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2><a id=\"post-180332-_heading=h.u4xix5bhrn0g\"><\/a>Detalles del ataque a la cadena de suministro de Axios<\/h2>\n<p>El atacante public\u00f3 dos versiones comprometidas de Axios (<span style=\"font-family: 'courier new', courier, monospace;\">v1.14.1 y v0.30.4<\/span>), pero no modific\u00f3 nada del c\u00f3digo fuente de Axios. En cambio, inyect\u00f3 <span style=\"font-family: 'courier new', courier, monospace;\">plain-crypto-js@4.2.1<\/span> en el archivo <span style=\"font-family: 'courier new', courier, monospace;\">package.json<\/span> como dependencia en tiempo de ejecuci\u00f3n.<\/p>\n<h3><a id=\"post-180332-_heading=h.qmwx25fdn121\"><\/a>El instalador posterior a la instalaci\u00f3n<\/h3>\n<p>Con versiones comprometidas de Axios, cuando un desarrollador ejecuta <span style=\"font-family: 'courier new', courier, monospace;\">npm install axios<\/span>, npm autom\u00e1ticamente resuelve el \u00e1rbol de dependencias e instala <span style=\"font-family: 'courier new', courier, monospace;\">plain-crypto-js<\/span>. Esto activa el hook del ciclo de vida postinstall de npm, ejecutando en segundo plano un script del instalador de <span style=\"font-family: 'courier new', courier, monospace;\">Node.js<\/span> altamente ofuscado llamado <span style=\"font-family: 'courier new', courier, monospace;\">setup.js<\/span>.<\/p>\n<p>Para ofuscar sus operaciones, <span style=\"font-family: 'courier new', courier, monospace;\">setup.js<\/span> usa un esquema de codificaci\u00f3n de dos capas que implica la inversi\u00f3n de cadenas, la decodificaci\u00f3n Base64 y un cifrado XOR que utiliza la clave <span style=\"font-family: 'courier new', courier, monospace;\">OrDeR_7077<\/span>.<\/p>\n<h3><a id=\"post-180332-_heading=h.dj3aewklq1mo\"><\/a>Obtenci\u00f3n de cargas \u00fatiles espec\u00edficas de la plataforma<\/h3>\n<p>El instalador consulta el sistema operativo y env\u00eda una solicitud HTTP POST a un servidor de comando y control (C2) en <span style=\"font-family: 'courier new', courier, monospace;\">sfrclak[.]com:8000<\/span>. Para que este tr\u00e1fico saliente se parezca a solicitudes de registro npm benignas, a\u00f1ade rutas espec\u00edficas de la plataforma:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">packages.npm[.]org\/product0<\/span> para macOS<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">packages.npm[.]org\/product1<\/span> para Windows<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">packages.npm[.]org\/product2<\/span> para Linux<\/li>\n<\/ul>\n<p>En la Figura\u00a01, se muestran los comandos de esta primera fase de descarga.<\/p>\n<figure id=\"attachment_180334\" aria-describedby=\"caption-attachment-180334\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-180334 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/05\/word-image-353051-180332-1.png\" alt=\"Fragmentos de c\u00f3digo de comandos para cada sistema operativo: macOS, Windows y Linux. \" width=\"1000\" height=\"292\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/05\/word-image-353051-180332-1.png 1471w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/05\/word-image-353051-180332-1-786x230.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/05\/word-image-353051-180332-1-768x225.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-180334\" class=\"wp-caption-text\">Figura 1. Primera fase de descarga por plataforma.<\/figcaption><\/figure>\n<h3><a id=\"post-180332-_heading=h.ricek1w5n8jz\"><\/a>Ejecuci\u00f3n del RAT<\/h3>\n<p>El servidor\u00a0C2 entrega una carga \u00fatil diferente en funci\u00f3n del sistema operativo de la v\u00edctima:<\/p>\n<ul>\n<li><strong>macOS<\/strong>: el instalador usa AppleScript para descargar un binario Mach-O compilado en C++, lo guarda en \/<span style=\"font-family: 'courier new', courier, monospace;\">Library\/Caches\/com.apple.act.mond,<\/span> lo hace ejecutable y lo lanza silenciosamente a trav\u00e9s de \/bin\/zsh.<\/li>\n<li><strong>Windows<\/strong>: El instalador malicioso (dropper) busca y copia el binario de Windows PowerShell en <span style=\"font-family: 'courier new', courier, monospace;\">%PROGRAMDATA%\\wt.exe<\/span>. A continuaci\u00f3n, utiliza VBScript para obtener y ejecutar un script secundario de troyano de acceso remoto (RAT) de PowerShell, el cual es ejecutado posteriormente por <span style=\"font-family: 'courier new', courier, monospace;\">wt.exe<\/span>. Tambi\u00e9n establece persistencia a trav\u00e9s de una clave de ejecuci\u00f3n (Run key) en el registro.<\/li>\n<li><strong>Linux<\/strong>: el instalador usa el comando <span style=\"font-family: 'courier new', courier, monospace;\">execSync<\/span> de Node.js para descargar un script RAT de Python a <span style=\"font-family: 'courier new', courier, monospace;\">\/tmp\/ld.py<\/span>, ejecut\u00e1ndolo en segundo plano mediante el comando <span style=\"font-family: 'courier new', courier, monospace;\">nohup<\/span>.<\/li>\n<\/ul>\n<h3><a id=\"post-180332-_heading=h.4ygvz06ep0ja\"><\/a>Arquitectura RAT unificada<\/h3>\n<p>A pesar de estar escritas en tres lenguajes diferentes (C++, PowerShell y Python), las tres cargas \u00fatiles funcionan como implementaciones del mismo marco RAT.<\/p>\n<p>Todas utilizan un protocolo\u00a0C2 id\u00e9ntico, env\u00edan datos JSON codificados en Base64 a trav\u00e9s de una solicitud HTTP POST y se comunican con el servidor cada 60\u00a0segundos. El servidor\u00a0C2 acepta los mismos cuatro comandos del atacante:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">kill<\/span> (autoterminar)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">runscript<\/span> (ejecutar comandos shell\/script)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">peinject<\/span> (soltar y ejecutar cargas \u00fatiles binarias)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">rundir<\/span> (enumerar directorios)<\/li>\n<\/ul>\n<p>Todas las variantes de RAT usan una cadena de agente de usuario codificada y muy anacr\u00f3nica que suplanta a Internet Explorer\u00a08 en Windows\u00a0XP: <span style=\"font-family: 'courier new', courier, monospace;\">mozilla\/4.0 (compatible; msie\u00a08.0; windows nt\u00a05.1; trident\/4.0)<\/span>.<\/p>\n<h3><a id=\"post-180332-_heading=h.4z7ke1lye0d3\"><\/a>Solapamiento con WAVESHAPER<\/h3>\n<p>El an\u00e1lisis inicial de la carga \u00fatil confirma un <a href=\"https:\/\/www.elastic.co\/security-labs\/axios-one-rat-to-rule-them-all\" target=\"_blank\" rel=\"noopener\">solapamiento<\/a> significativo con <a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/unc1069-targets-cryptocurrency-ai-social-engineering\" target=\"_blank\" rel=\"noopener\">WAVESHAPER<\/a>. WAVESHAPER es una puerta trasera C++ que se comunica con su servidor\u00a0C2 utilizando la biblioteca curl, empleando HTTP o HTTPS seg\u00fan se especifique en los argumentos de la l\u00ednea de comandos.<\/p>\n<p>La direcci\u00f3n del servidor\u00a0C2 tambi\u00e9n se proporciona mediante par\u00e1metros de l\u00ednea de comandos, lo que permite a la puerta trasera descargar y ejecutar cargas \u00fatiles arbitrarias desde la infraestructura del adversario.<\/p>\n<p>WAVESHAPER tambi\u00e9n se ejecuta como un demonio al bifurcarse en un proceso secundario que se ejecuta en segundo plano, independiente de la sesi\u00f3n principal. Recopila la informaci\u00f3n del sistema devuelta, que se env\u00eda al servidor\u00a0C2 en una solicitud HTTP POST.<\/p>\n<h3><a id=\"post-180332-_heading=h.mdca5pyw5gdz\"><\/a><strong>Limpieza forense <\/strong><\/h3>\n<p>Todo el proceso, desde la instalaci\u00f3n hasta el compromiso, dura aproximadamente 15\u00a0segundos. Tras lanzar con \u00e9xito la carga \u00fatil, el instalador Node.js realiza una limpieza antiforense agresiva. Elimina el archivo <span style=\"font-family: 'courier new', courier, monospace;\">setup.js<\/span>, elimina el hook postinstall y reemplaza el <span style=\"font-family: 'courier new', courier, monospace;\">package.json<\/span> alterado por un archivo se\u00f1uelo limpio llamado <span style=\"font-family: 'courier new', courier, monospace;\">package.md<\/span>. Esto garantiza que los desarrolladores que inspeccionen las carpetas <span style=\"font-family: 'courier new', courier, monospace;\">node_modules<\/span> despu\u00e9s de la instalaci\u00f3n no encontrar\u00e1n signos evidentes de c\u00f3digo malicioso.<\/p>\n<h2><a id=\"post-180332-_heading=h.he1eq2ju4l1f\"><\/a>Consultas de b\u00fasqueda de amenazas gestionadas de Unit\u00a042<\/h2>\n<p>El equipo de b\u00fasqueda de amenazas gestionadas de Unit\u00a042 sigue rastreando cualquier intento de explotar esta situaci\u00f3n en nuestros clientes, por medio de Cortex XDR y las consultas XQL que se indican a continuaci\u00f3n. Los clientes de Cortex XDR tambi\u00e9n pueden utilizar estas consultas XQL para buscar indicios de explotaci\u00f3n.<\/p>\n<pre class=\"lang:default decode:true\">\/\/ Title: Compromised Axios npm package version (1.14.1 and 0.30.4) C2 on Command Line\r\n\r\n\/\/ Description: First stage of activity once a compromised endpoint runs the affected axios package is for the dropper scripts to call out to their C2 domain sfrclak[.]com\r\n\r\n\/\/ MITRE ATT&amp;CK TTP ID: T1105\r\n\r\nconfig case_sensitive = false\r\n\r\n| dataset = xdr_data\r\n\r\n| fields _time, event_type, event_sub_type, event_id, agent_hostname, agent_id, action_process_image_command_line, actor_process_command_line\r\n\r\n| filter event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START and action_process_image_command_line ~= \"(?:\\bsfrclak\\.com\\b)\"\r\n\r\n| comp values(action_process_image_command_line) as action_process_image_command_line, values(actor_process_command_line) as actor_process_command_line by _time, agent_hostname, agent_id<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Title: Compromised Axios npm package version (1.14.1 and 0.30.4) Malicious plain-crypto-js package directory\r\n\r\n\/\/ Description: The malicious package is actually plain-crypto-js, this looks for directory creation events for that package name within a node_modules folder\r\n\r\n\/\/ MITRE ATT&amp;CK TTP ID: T1204.005\r\n\r\nconfig case_sensitive = false\r\n\r\n| dataset = xdr_data\r\n\r\n| fields _time, event_type, event_sub_type, event_id, agent_hostname, agent_id, action_file_path, actor_process_command_line\r\n\r\n| filter event_type = ENUM.FILE and event_sub_type in (ENUM.FILE_DIR_CREATE, ENUM.FILE_DIR_WRITE, ENUM.FILE_DIR_RENAME) and lowercase(action_file_path) ~= \"(?:\\bnode_modules[\\\\\\\/]plain-crypto-js\\b)\"\r\n\r\n| comp values(action_file_path) as action_file_path, values(actor_process_command_line) as actor_process_command_line by _time, agent_hostname, agent_id<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Title: Compromised Axios npm package version (1.14.1 and 0.30.4) File Indicators\r\n\r\n\/\/ Description: Upon installation of the compromised axios package via npm, the postinstall script deploys dropper scripts to download and install a remote access trojan on Mac, Linux, or Windows endpoints.\r\n\r\n\/\/ MITRE ATT&amp;CK TTP ID: T1105 &amp; T1219\r\n\r\nconfig case_sensitive = false\r\n\r\n| dataset = xdr_data\r\n\r\n| fields _time, event_type, event_sub_type, event_id, agent_hostname, agent_id, action_file_path, actor_process_command_line\r\n\r\n| filter event_type = ENUM.FILE and event_sub_type in (FILE_CREATE_NEW, FILE_WRITE, FILE_RENAME) and lowercase(action_file_path) ~= \"(?:library\\\/caches\\\/com\\.apple\\.act\\.mond|\\\/tmp\\\/ld\\.py|c:\\\\programdata\\\\wt\\.exe|appdata\\\\local\\\\temp\\\\6202033\\.(?:ps1|vbs)|c:\\\\programdata\\\\system\\.bat)\"\r\n\r\n| comp values(action_file_path) as action_file_path, values(actor_process_command_line) as actor_process_command_line by _time, agent_hostname, agent_id<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Title: Compromised Axios npm package version (1.14.1 and 0.30.4) C2 NGFW Traffic\r\n\r\n\/\/ Description: First stage of activity once a compromised endpoint runs the affected axios package is for the dropper scripts to call out to their C2 domain sfrclak[.]com\r\n\r\n\/\/ MITRE ATT&amp;CK TTP ID: T1105\r\n\r\nconfig case_sensitive = false\r\n\r\n| dataset = panw_ngfw_url_raw\r\n\r\n| filter url_domain ~= \"(?:\\bsfrclak\\.com\\b)\"\r\n\r\n| join type = left (\r\n\r\ndataset = panw_ngfw_traffic_raw\r\n\r\n| fields session_id, source_ip, dest_ip, source_port, dest_port, action_source, bytes_received, bytes_sent, bytes_total, packets_received, packets_sent, packets_total, chunks_received, chunks_sent, chunks_total, session_end_reason\r\n\r\n) as trafficraw trafficraw.session_id = session_id and trafficraw.source_ip = source_ip and trafficraw.dest_ip = dest_ip and trafficraw.source_port = source_port and trafficraw.dest_port = dest_port\r\n\r\n| fields _time, _reporting_device_name, action, action_source, source_ip, source_port, source_user, source_location, dest_ip, dest_port, dest_location, http_method, http_headers, uri, url_category, url_category_list, url_domain, app, app_category, app_sub_category, bytes_received, bytes_sent, bytes_total, packets_received, packets_sent, packets_total, chunks_received, chunks_sent, chunks_total, protocol, inbound_if, outbound_if, from_zone, to_zone, referer, referer_fqdn, referer_port, referer_protocol, referer_url_path, rule_matched, session_id, session_end_reason, severity, sub_type, technology_of_app, tunneled_app, vsys\r\n\r\n| sort desc _time<\/pre>\n<h2><a id=\"post-180332-_heading=h.k0lzslnyokmt\"><\/a>Conclusi\u00f3n<\/h2>\n<p>Los atacantes han estado aumentando la frecuencia y la escala de las operaciones de la cadena de suministro de npm desde principios de 2026. Proteger el canal de integraci\u00f3n continua\/implementaci\u00f3n continua (CI\/CD) deber\u00eda ser una prioridad para cualquier organizaci\u00f3n a fin de mitigar esta creciente amenaza.<\/p>\n<p>A partir de la cantidad de informaci\u00f3n disponible p\u00fablicamente, recomendamos encarecidamente las siguientes acciones:<\/p>\n<h3>Evaluaci\u00f3n inmediata y aislamiento<\/h3>\n<ul>\n<li><strong>Auditor\u00eda de paquetes maliciosos<\/strong>: busque en sus proyectos y directorios <span style=\"font-family: 'courier new', courier, monospace;\">node_modules<\/span> las versiones de Axios comprometidas (1.14.1 y 0.30.4) y el paquete <span style=\"font-family: 'courier new', courier, monospace;\">plain-crypto-js<\/span> inyectado (versiones\u00a04.2.0 y 4.2.1).<\/li>\n<li><strong>Verificaci\u00f3n de la presencia de artefactos de malware<\/strong>: inspeccione los sistemas en busca de indicadores de vulneraci\u00f3n espec\u00edficos de la plataforma, como <span style=\"font-family: 'courier new', courier, monospace;\">\/Library\/Caches\/com.apple.act.mond<\/span> (macOS), <span style=\"font-family: 'courier new', courier, monospace;\">%PROGRAMDATA%\\wt.exe<\/span> (Windows) y <span style=\"font-family: 'courier new', courier, monospace;\">\/tmp\/ld.py<\/span> (Linux).<\/li>\n<li><strong>Aislamiento de los sistemas afectados<\/strong>: si descubre los paquetes maliciosos o artefactos RAT, a\u00edsle inmediatamente el sistema de la red.<\/li>\n<\/ul>\n<h3><a id=\"post-180332-_heading=h.1bhtxcxvatyl\"><\/a>Resoluci\u00f3n y reconstrucci\u00f3n<\/h3>\n<ul>\n<li><strong>Reconstrucci\u00f3n desde cero<\/strong>: si un entorno se ve comprometido, no intente limpiar el malware mientras siga en su sitio. En cambio, reconstruya completamente el entorno desde un estado conocido y confiable.<\/li>\n<li><strong>Borrado de cach\u00e9s<\/strong>: borre las cach\u00e9s locales y compartidas del gestor de paquetes (npm, yarn, pnpm) en todas las estaciones de trabajo y los servidores de compilaci\u00f3n para evitar la reinfecci\u00f3n en futuras instalaciones.<\/li>\n<\/ul>\n<h3><a id=\"post-180332-_heading=h.2p212hb949ov\"><\/a>Rotaci\u00f3n completa de credenciales<\/h3>\n<ul>\n<li><strong>Suposici\u00f3n de vulneraci\u00f3n:<\/strong> si el paquete malicioso fue ejecutado, debe suponer que se robaron todos los secretos accesibles en esa m\u00e1quina.<\/li>\n<li><strong>Rotaci\u00f3n de todos los secretos<\/strong>: rote inmediatamente las credenciales expuestas, incluidos los tokens npm, las claves de acceso AWS, las claves privadas SSH, las credenciales de entorno de nube (Google Cloud, Azure), los secretos CI\/CD y cualquier valor sensible almacenado en archivos\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">.env<\/span>.<\/li>\n<\/ul>\n<h3><a id=\"post-180332-_heading=h.uxy2kqnjgx7m\"><\/a>Control de versiones y fijaci\u00f3n de dependencias<\/h3>\n<ul>\n<li><strong>Disminuci\u00f3n de la versi\u00f3n de Axios<\/strong>: revierta inmediatamente a las \u00faltimas versiones seguras conocidas de Axios: 1.14.0 u 0.30.3.<\/li>\n<li><strong>Fijaci\u00f3n de dependencias<\/strong>: vincule Axios a estas versiones seguras dentro del archivo <span style=\"font-family: 'courier new', courier, monospace;\">package-lock.json<\/span> para evitar actualizaciones accidentales.<\/li>\n<li><strong>Uso de anulaciones<\/strong>: a\u00f1ada un bloque overrides en la configuraci\u00f3n del paquete para evitar que otros paquetes resuelvan versiones maliciosas de forma transitoria.<\/li>\n<li><strong>Restricci\u00f3n de los repositorios corporativos<\/strong>: configure los repositorios\u00a0npm gestionados por la empresa para que sirvan estrictamente solo las versiones confiables y conocidas de Axios.<\/li>\n<\/ul>\n<h3><a id=\"post-180332-_heading=h.vj6my9ahp8mw\"><\/a>Defensa y supervisi\u00f3n de redes<\/h3>\n<ul>\n<li><strong>Bloqueo del tr\u00e1fico\u00a0C2<\/strong>: bloquee todo el tr\u00e1fico de salida hacia el dominio\u00a0C2 del atacante (<span style=\"font-family: 'courier new', courier, monospace;\">sfrclak[.]com<\/span>) y la direcci\u00f3n\u00a0IP (<span style=\"font-family: 'courier new', courier, monospace;\">142.11.206[.]73<\/span>).<\/li>\n<li><strong>Supervisi\u00f3n de registros:<\/strong> supervise los registros de red en busca de conexiones salientes sospechosas a trav\u00e9s del puerto\u00a08000, comportamiento de comunicaci\u00f3n y solicitudes HTTP POST an\u00f3malas.<\/li>\n<\/ul>\n<h3><a id=\"post-180332-_heading=h.e2hrte3tr2l2\"><\/a>CI\/CD y refuerzo de canales<\/h3>\n<ul>\n<li><strong>Auditor\u00eda del canal de CI\/CD:<\/strong> revise los registros de compilaci\u00f3n automatizados para ver si las versiones afectadas se instalaron durante ejecuciones recientes. Rote los secretos de los flujos de trabajo que los ejecutaron.<\/li>\n<li><strong>Pause y valide las implementaciones<\/strong>: ponga en pausa temporalmente las implementaciones de CI\/CD para proyectos que dependen de Axios, para validar que sus compilaciones no est\u00e1n extrayendo autom\u00e1ticamente las \u201c\u00faltimas\u201d versiones envenenadas.<\/li>\n<li><strong>Desactivaci\u00f3n de los scripts del ciclo de vida<\/strong>: utilice la opci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">--ignore-scripts<\/span> durante las instalaciones CI\/CD para evitar expl\u00edcitamente que los hooks postinstall de npm se ejecuten durante las compilaciones automatizadas.<\/li>\n<\/ul>\n<h3><a id=\"post-180332-_heading=h.eyh5a9t2facq\"><\/a>Seguridad de los desarrolladores a largo plazo<\/h3>\n<ul>\n<li><strong>Entornos sandbox<\/strong>: a\u00edsle los entornos de desarrollo utilizando contenedores o sandboxes para restringir el acceso al sistema de archivos del host.<\/li>\n<li><strong>Secretos de b\u00f3veda<\/strong>: migre los secretos en texto plano de las m\u00e1quinas de los desarrolladores a b\u00f3vedas seguras o llaveros del sistema operativo (con herramientas como <span style=\"font-family: 'courier new', courier, monospace;\">aws-vault<\/span>) para que los scripts maliciosos no puedan extraerlos mediante programaci\u00f3n.<\/li>\n<li><strong>Implementaci\u00f3n de detecci\u00f3n y respuesta de endpoint (EDR):<\/strong> aseg\u00farese de que se implementen soluciones EDR en las estaciones de trabajo de los desarrolladores para supervisar los procesos sospechosos que se generan a partir de aplicaciones Node.js.<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido nuestros resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\/\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos gracias a nuestros productos, como se indica a continuaci\u00f3n. Actualizaremos este resumen de amenazas a medida que dispongamos de m\u00e1s informaci\u00f3n pertinente.<\/p>\n<h2><a id=\"post-180332-_heading=h.mjdsuxgq876a\"><\/a>Protecciones de productos de Palo Alto Networks para el ataque a la cadena de suministro de Axios<\/h2>\n<p>Los clientes de Palo Alto Networks pueden aprovechar varias protecciones y actualizaciones de productos para identificar y defenderse contra esta amenaza.<\/p>\n<p>Si cree que podr\u00eda haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 000 800 050 45107<\/li>\n<li>Corea del Sur: +82.080.467.8774<\/li>\n<\/ul>\n<h3><a id=\"post-180332-_heading=h.b5jic5wqnq86\"><\/a>Advanced WildFire<\/h3>\n<p>Los modelos de aprendizaje autom\u00e1tico y las t\u00e9cnicas de an\u00e1lisis de <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a> se han revisado y actualizado a la luz de los indicadores compartidos en esta investigaci\u00f3n.<\/p>\n<h3><a id=\"post-180332-_heading=h.p7sfg0pl70s3\"><\/a>Servicios de seguridad entregados en la nube para el firewall de nueva generaci\u00f3n<\/h3>\n<p><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">URL Filtering avanzado<\/a> y <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a> identifican las direcciones\u00a0IP y los dominios conocidos asociados con esta actividad como maliciosos.<\/p>\n<h3><a id=\"post-180332-_heading=h.rjqmre9gub1m\"><\/a>Cortex AgentiX<\/h3>\n<p>Los analistas de seguridad pueden utilizar el lenguaje natural para pedir al agente de inteligencia de amenazas <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/agentix\" target=\"_blank\" rel=\"noopener\">Cortex AgentiX<\/a> que extraiga los indicadores de compromiso (IoC) de archivos de este informe de amenazas. A continuaci\u00f3n, tendr\u00e1n que enriquecerlos, comprobar si hay avistamientos en su instancia de Cortex y alertas relacionadas, y proporcionar un resumen r\u00e1pido del impacto para la organizaci\u00f3n.<\/p>\n<h3><a id=\"post-180332-_heading=h.xqec39fuw6qy\"><\/a>Cortex XDR y XSIAM<\/h3>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a> proporcionan una defensa multicapa para brindar protecci\u00f3n contra el acceso inicial, C2 y el movimiento lateral potencial descrito en este art\u00edculo. Esto incluye Behavioral Threat Protection (BTP), Advanced WildFire y Cortex Analytics.<\/p>\n<p>En concreto, observamos prevenci\u00f3n lista para usar (OotB) a trav\u00e9s de Advanced WildFire y BTP para las segundas etapas de este ataque en Windows y macOS. Cortex Analytics puede ayudar a detectar actividades\u00a0C2 y actividades sospechosas en la cadena de suministro utilizando nuestros detectores a medida descritos en los siguientes art\u00edculos:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/blog\/security-operations\/how-behavioral-analytics-stop-linux-c2-credential-theft\/\" target=\"_blank\" rel=\"noopener\">How Behavioral Analytics Stop Linux C2 &amp; Credential Theft (C\u00f3mo los an\u00e1lisis de comportamiento detienen el robo de credenciales y C2 de Linux), blog de Palo Alto Networks<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/blog\/security-operations\/how-cortex-xdr-global-analytics-protects-against-supply-chain-attacks\/\" target=\"_blank\" rel=\"noopener\">How Cortex XDR Global Analytics Protects Against Supply Chain Attacks (C\u00f3mo Cortex XDR Global Analytics protege contra los ataques a la cadena de suministro), blog de Palo Alto Networks<\/a><\/li>\n<\/ul>\n<p>A los clientes les aconsejamos que actualicen los agentes a las versiones compatibles y a la \u00faltima actualizaci\u00f3n de contenidos para recibir la mejor protecci\u00f3n.<\/p>\n<h3><a id=\"post-180332-_heading=h.hoinmhl1ov6u\"><\/a>Cortex Cloud<\/h3>\n<p>La plataforma <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a> proporciona operaciones de detecci\u00f3n y prevenci\u00f3n tanto para la primera como para la segunda etapa de la cadena de ataque Axios. Esto incluye Software Supply Chain Security, Application Security (AppSec), Cloud Workload Protection (CWP), Cortex XDR y XSIAM.<\/p>\n<p>Cada fase del ataque se puede asignar a una capacidad de Cortex Cloud que ayude a prevenirlo o detectarlo, desde operaciones de verificaci\u00f3n de editores de confianza de CI\/CD hasta la supervisi\u00f3n posterior a la instalaci\u00f3n en tiempo de ejecuci\u00f3n y la detecci\u00f3n de persistencia de endpoints.<\/p>\n<h2><a id=\"post-180332-_heading=h.8dttfyrbzd63\"><\/a>Indicadores de vulneraci\u00f3n<\/h2>\n<h3><a id=\"post-180332-_heading=h.vncw6c5obc0m\"><\/a>SHA256 Hashes<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ad8ba560ae5c4af4758bc68cc6dcf43bae0e0bbf9da680a8dc60a9ef78e22ff7<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">cdc05cd30eb53315dadb081a7b942bb876f0d252d20e8ed4d2f36be79ee691fa<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">8449341ddc3f7fcc2547639e21e704400ca6a8a6841ae74e57c04445b1276a10<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">01c9484abc948daa525516464785009d1e7a63ffd6012b9e85b56477acc3e624<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">7b47ed28e84437aee64ffe9770d315c1b984135105f7f608a8b9579517bc0695<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">526ab39d1f56732e4e926715aaa797feb13b1ae86882ec570a4d292e7fdc3699<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a98e04dec3a7fe507eb30c72da808bad60bc14d9d80f9770ec99c438faa85a1a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">0d83030ab8bfba675fc1661f0756b6770be7dd80b1b718de3d68a01f2e79a5f4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a24c61a057325af668<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e10b1fa84f1d6481625f741b69892780140d4e0e7769e7491e5f4d894c2e0e09<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">f7d335205b8d7b20208fb3ef93ee6dc817905dc3ae0c10a0b164f4e7d07121cd<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e49c2732fb9861548208a78e72996b9c3c470b6b562576924bcc3a9fb75bf9ff<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">506690fcbd10fbe6f2b85b49a1fffa9d984c376c25ef6b73f764f670e932cab4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4465bdeaddc8c049a67a3d5ec105b2f07dae72fa080166e51b8f487516eb8d07<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">58401c195fe0a6204b42f5f90995ece5fab74ce7c69c67a24c61a057325af668<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">5bb67e88846096f1f8d42a0f0350c9c46260591567612ff9af46f98d1b7571cd<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">59336a964f110c25c112bcc5adca7090296b54ab33fa95c0744b94f8a0d80c0f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a224dd73b7ed33e0bf6a2ea340c8f8859dfa9ec5736afa8baea6225bf066b248<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">5e2ab672c3f98f21925bd26d9a9bba036b67d84fde0dfdbe2cf9b85b170cab71<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">20df0909a3a0ef26d74ae139763a380e49f77207aa1108d4640d8b6f14cab8ca<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">5b5fbc627502c5797d97b206b6dcf537889e6bea6d4e81a835e103e311690e22<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">506690fcbd10fbe6f2b85b49a1fffa9d984c376c25ef6b73f764f670e932cab4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4465bdeaddc8c049a67a3d5ec105b2f07dae72fa080166e51b8f487516eb8d07<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9c64f1c7eba080b4e5ff17369ddcd00b9fe2d47dacdc61444b4cbfebb23a166c<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-180332-_heading=h.71gd0f6dptmh\"><\/a>Direcciones\u00a0IP y dominios<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">142.11.206[.]73<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">sfrclak[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">callnrwise[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/sfrclak[.]com:8000<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/sfrclak[.]com:8000\/6202033<\/span><\/li>\n<\/ul>\n<p><em>Actualizado el 1 de abril de 2026, a la 1.15\u00a0p.\u00a0m. PT para a\u00f1adir cobertura para Advanced WildFire.<\/em><\/p>\n<p><em>Actualizado el 9 de abril de 2026, a las 8:50 a. m. PT, para a\u00f1adir cobertura de Advanced Threat Prevention.<\/em><\/p>\n<p><em>Actualizado el 13 de abril de 2026, a las 12:50 p. m. PT, para aclarar c\u00f3mo se ejecuta el troyano de acceso remoto (RAT) en su versi\u00f3n para Windows. Se a\u00f1adi\u00f3 cobertura para Cortex AgentiX.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Unit 42 analiza el ataque a la cadena de suministro dirigido a Axios. Conozca sobre la cadena completa del ataque, desde el instalador hasta la limpieza forense.<\/p>\n","protected":false},"author":23,"featured_media":176787,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8775,8793],"tags":[8858,9634,9221,9519,10086,9223],"product_categories":[8922,8924,8925,8921,8932,8933,8934,8935,8890],"coauthors":[1025],"class_list":["post-180332","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-top-cyberthreats-es-la","category-malware-es-la","tag-api-attacks-es-la","tag-javascript-es-la","tag-powershell-es-la","tag-supply-chain-es-la","tag-trojan","tag-vbscript-es-la","product_categories-advanced-dns-security-es-la","product_categories-advanced-url-filtering-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-cloud-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xsiam-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Resumen sobre amenazas: impacto generalizado del ataque a la cadena de suministro de Axios<\/title>\n<meta name=\"description\" content=\"Unit 42 analiza el ataque a la cadena de suministro dirigido a Axios. Conozca sobre la cadena completa del ataque, desde el instalador hasta la limpieza forense.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Resumen sobre amenazas: impacto generalizado del ataque a la cadena de suministro de Axios\" \/>\n<meta property=\"og:description\" content=\"Unit 42 analiza el ataque a la cadena de suministro dirigido a Axios. Conozca sobre la cadena completa del ataque, desde el instalador hasta la limpieza forense.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2026-04-01T19:42:05+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-05-08T19:53:45+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/04\/02_Security-Technology_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Resumen sobre amenazas: impacto generalizado del ataque a la cadena de suministro de Axios","description":"Unit 42 analiza el ataque a la cadena de suministro dirigido a Axios. Conozca sobre la cadena completa del ataque, desde el instalador hasta la limpieza forense.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/","og_locale":"es_LA","og_type":"article","og_title":"Resumen sobre amenazas: impacto generalizado del ataque a la cadena de suministro de Axios","og_description":"Unit 42 analiza el ataque a la cadena de suministro dirigido a Axios. Conozca sobre la cadena completa del ataque, desde el instalador hasta la limpieza forense.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/","og_site_name":"Unit 42","article_published_time":"2026-04-01T19:42:05+00:00","article_modified_time":"2026-05-08T19:53:45+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/04\/02_Security-Technology_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/ae7965e2717d118e5dd8f67b7d3519bc"},"headline":"Resumen sobre amenazas: impacto generalizado del ataque a la cadena de suministro de Axios","datePublished":"2026-04-01T19:42:05+00:00","dateModified":"2026-05-08T19:53:45+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/"},"wordCount":2971,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/04\/02_Security-Technology_Category_1920x900.jpg","keywords":["API attacks","JavaScript","PowerShell","supply chain","Trojan","VBScript"],"articleSection":["Amenazas sofisticadas","Malware"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/","name":"Resumen sobre amenazas: impacto generalizado del ataque a la cadena de suministro de Axios","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/04\/02_Security-Technology_Category_1920x900.jpg","datePublished":"2026-04-01T19:42:05+00:00","dateModified":"2026-05-08T19:53:45+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/ae7965e2717d118e5dd8f67b7d3519bc"},"description":"Unit 42 analiza el ataque a la cadena de suministro dirigido a Axios. Conozca sobre la cadena completa del ataque, desde el instalador hasta la limpieza forense.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/04\/02_Security-Technology_Category_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/04\/02_Security-Technology_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of the supply chain attack compromising Axios. A giant eye made of glowing binary code."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/axios-supply-chain-attack\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Resumen sobre amenazas: impacto generalizado del ataque a la cadena de suministro de Axios"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/ae7965e2717d118e5dd8f67b7d3519bc","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/24dfba25c0e71d4de1836b78795bc2e5","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Insights_headshot-placeholder-300x300.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Insights_headshot-placeholder-300x300.jpg","caption":"Unit 42"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/180332","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=180332"}],"version-history":[{"count":3,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/180332\/revisions"}],"predecessor-version":[{"id":180346,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/180332\/revisions\/180346"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/176787"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=180332"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=180332"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=180332"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=180332"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=180332"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}