Corea del Norte ejecuta ciberataque masivo contra proyecto open source Axios

Ciberataque Norcoreano Compromete Proyecto Open Source Axios

Un ataque cibernético atribuido a Corea del Norte logró infiltrarse en uno de los proyectos de código abierto más utilizados en la web, Axios, en un incidente que subraya los crecientes riesgos de seguridad para los desarrolladores de software libre.

Modus Operandi: Ingeniería Social y Paciencia

El ataque, ejecutado el 31 de marzo, fue el resultado de una campaña de semanas donde hackers norcoreanos construyeron una relación de confianza con Jason Saayman, mantenedor principal de Axios. Los atacantes se hicieron pasar por una empresa legítima, crearon un espacio de Slack realista y utilizaron perfiles falsos de empleados para ganar credibilidad.

Posteriormente, invitaron a Saayman a una reunión web que lo llevó a descargar malware disfrazado como una actualización necesaria para acceder a la llamada. Esta técnica, según Saayman, imita métodos previamente atribuidos a hackers norcoreanos por investigadores de seguridad de Google.

Timeline del Compromiso

• Inicio de la campaña: Aproximadamente dos semanas antes del 31 de marzo.
• Día del ataque: 31 de marzo – Los hackers ganan acceso remoto al computador de Saayman y publican paquetes maliciosos en Axios.
• Duración de la ventana de infección: Los paquetes maliciosos estuvieron disponibles por unas tres horas antes de ser retirados.

Impacto y Consecuencias

Los dos paquetes maliciosos de Axios pudieron haber infectado miles de sistemas durante ese breve período. Cualquier computador que instaló la versión comprometida pudo haber permitido a los hackers robar claves privadas, credenciales y contraseñas, lo que podría derivar en brechas adicionales de seguridad.

Saayman compartió un postmortem detallado del incidente, aunque no respondió de inmediato a preguntas sobre el mismo.

Contexto: La Amenaza Cibernética Norcoreana

Los hackers de Corea del Norte se mantienen como una de las amenazas cibernéticas más activas en internet. Se les atribuye el robo de al menos $2 billones en criptomonedas solo en 2025.

El régimen de Kim Jong Un, bajo sanciones internacionales y excluido de la red financiera global por violar la prohibición de su programa de armas nucleares, financia en gran parte estas actividades mediante ciberataques y el robo de criptomonedas.

Se cree que Corea del Norte cuenta con miles de hackers altamente organizados, muchos de los cuales trabajan contra su voluntad bajo el régimen represivo. Estos hackers dedican semanas o meses a realizar complejos ataques de ingeniería social con el objetivo de ganar confianza y acceso para robar criptomonedas y datos para extorsionar a sus víctimas.

Implicaciones para la Seguridad Open Source

Este incidente resalta los desafíos de seguridad que enfrentan los desarrolladores de proyectos open source populares, especialmente cuando actores estatales y criminales cibernéticos los atacan por su capacidad de acceder, en algunos casos, a millones de dispositivos en todo el mundo.

La dependencia global de software de código abierto requiere una mayor vigilancia y prácticas de seguridad robustas para proteger a los mantenedores y usuarios finales.