lanzatuwebya
Alfa
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Axios, el cliente HTTP más usado en JS, sufrió un ataque supply chain vía npm. Comprometieron una cuenta de maintainer y subieron axios@1.14.1 y axios@0.30.4 con plain-crypto-js@4.2.1 malicioso.
Como fue la Mecánica técnica
Postinstall hook descarga droppers OS-specific: /tmp/ld.py (Linux), ejecutables nativos (Win/macOS). Conecta a C2 sfrclak.com:8000 para exfiltración y comandos. Activo 2-3 hs, 300M+ descargas semanales expuestas.
Acciones inmediatas
Pin a axios@1.14.0 o 0.30.3
grep -r plain-crypto-js package-lock.json
Auditá logs/IOCs: sfrclak.com, paths temporales
No es TeamPCP (.pth PyPI); TTPs apuntan UNC1069 sin confirmar. Revisen dependencias
Saludos!
Como fue la Mecánica técnica
Postinstall hook descarga droppers OS-specific: /tmp/ld.py (Linux), ejecutables nativos (Win/macOS). Conecta a C2 sfrclak.com:8000 para exfiltración y comandos. Activo 2-3 hs, 300M+ descargas semanales expuestas.
Acciones inmediatas
Pin a axios@1.14.0 o 0.30.3
grep -r plain-crypto-js package-lock.json
Auditá logs/IOCs: sfrclak.com, paths temporales
No es TeamPCP (.pth PyPI); TTPs apuntan UNC1069 sin confirmar. Revisen dependencias
Saludos!

