Cinco ataques importantes a la cadena de suministro de código abierto ocurrieron en solo doce días. Axios. Trivy. LiteLLM. Telnyx. Y luego la filtración del código fuente de Claude Code para coronarlo todo.
Herramientas diferentes. Ecosistemas diferentes. La misma causa raíz cada vez: credenciales, configuraciones y brechas en los procesos.
Analicemos qué sucedió, qué los conecta y qué puede hacer realmente su equipo al respecto.
Qué Sucedió
El Secuestro de Axios en npm 31 de marzo
Axios es una de las herramientas más utilizadas en el ecosistema JavaScript. Más de 100 millones de descargas semanales. Es el tipo de dependencia que está en todas partes — en apps frontend, servicios backend, plataformas empresariales y pipelines de CI/CD.
El 31 de marzo, un actor de amenazas secuestró la cuenta npm del mantenedor principal de Axios y publicó dos versiones maliciosas (1.14.1 y 0.30.4). Estas versiones contenían una dependencia oculta llamada "plain-crypto-js" que instalaba silenciosamente un Troyano de Acceso Remoto multiplataforma en el momento en que cualquier máquina ejecutaba npm install.
El atacante preparó la dependencia maliciosa 18 horas antes, construyó cargas útiles separadas para Windows, macOS y Linux, atacó ambas ramas de lanzamiento en 39 minutos y diseñó el malware para autodestruirse después de la ejecución para cubrir sus huellas.
El Grupo de Inteligencia de Amenazas de Google ha atribuido el ataque a UNC1069, un actor de amenazas norcoreano con motivación financiera activo desde al menos 2018.
Las versiones maliciosas estuvieron activas aproximadamente dos horas antes de ser retiradas. Pero con 100 millones de descargas semanales, incluso una ventana de dos horas genera una exposición masiva.
Los Compromisos de LiteLLM y Telnyx en PyPI 24–27 de marzo
Este comenzó con Trivy, un escáner de seguridad de código abierto del que muchas organizaciones dependen para detectar exactamente este tipo de amenaza.
El 19 de marzo, un grupo conocido como TeamPCP secuestró las etiquetas de lanzamiento en el repositorio de GitHub Actions de Trivy, inyectando malware de recolección de credenciales. Desde allí, los atacantes usaron las credenciales robadas para moverse a Checkmarx KICS el 23 de marzo, y luego a PyPI.
El 24 de marzo, versiones maliciosas de LiteLLM (1.82.7 y 1.82.8) fueron publicadas en PyPI. LiteLLM es una capa proxy de IA presente en aproximadamente el 36% de los entornos cloud, manejando solicitudes API para más de 100 proveedores diferentes de modelos de lenguaje. Los paquetes comprometidos usaban el mecanismo de archivos .pth de Python para ejecutarse automáticamente en cada inicio del intérprete de Python, recolectando claves SSH, credenciales cloud, configuraciones de Kubernetes, contraseñas de bases de datos y claves API.
Tres días después, el paquete Python de Telnyx fue atacado con el mismo método.
Los paquetes de LiteLLM estuvieron disponibles aproximadamente tres horas. Con tres millones de descargas diarias del paquete, la ventana de exposición fue significativa.
La Filtración del Código Fuente de Claude Code 31 de marzo
El mismo día del ataque a Axios, Anthropic envió accidentalmente el código fuente completo de su CLI Claude Code dentro de un paquete npm público. La versión 2.1.88 incluía un archivo source map — un artefacto de depuración que mapeaba el código de producción empaquetado de vuelta al código fuente TypeScript original. Ese archivo apuntaba a un archivo zip en el almacenamiento cloud propio de Anthropic con aproximadamente 512,000 líneas de código en 1,900 archivos.
Esto no fue un hackeo ni una brecha. Fue un error de empaquetado causado por un archivo mal configurado en el proceso de lanzamiento. Anthropic confirmó que fue un error humano.
En cuestión de horas, el código fue replicado en GitHub, acumulando decenas de miles de forks. La filtración expuso la arquitectura completa de un producto con ingresos anuales estimados en $2.5 mil millones, incluyendo funcionalidades no lanzadas, herramientas internas y prompts del sistema.
Esta fue en realidad la segunda vez que ocurría una filtración similar de source maps con Claude Code, después de un incidente anterior en febrero de 2025.
El Patrón
Si nos alejamos de los incidentes individuales, el panorama se vuelve claro.
Ninguno de estos fue un ataque imposiblemente sofisticado contra el que nadie pudiera haberse defendido. Cada uno se redujo a lo fundamental:
El Ataque a Axios
Tuvo éxito porque el atacante obtuvo un token de acceso npm de larga duración. Una credencial comprometida desbloqueó derechos de publicación sobre un paquete usado por millones.
El Ataque a LiteLLM
Se propagó desde un único token de CI/CD expuesto. Credenciales robadas de una herramienta dieron acceso a otra, y luego a otra, y luego a otra.
La Filtración de Claude Code
Ocurrió por una exclusión faltante en un archivo de configuración. Un solo descuido en el pipeline de lanzamiento expuso todo.
Todos estos fueron fallos de proceso antes de convertirse en incidentes de seguridad.
Las Buenas Noticias
Todo lo que acabamos de describir tiene solución. El manual ya existe. Esto es lo que separa a los equipos que fueron afectados de los que no.
Fije sus dependencias
No permita que su sistema de compilación descargue automáticamente la última versión de un paquete. Bloquee las versiones de dependencias en sus lockfiles y verifique la integridad de lo que instala. Si su pipeline de CI/CD hubiera fijado Axios en 1.14.0, la versión maliciosa 1.14.1 nunca se habría instalado.
Exija procedencia de compilación
Los paquetes legítimos publicados a través de pipelines CI/CD adecuados incluyen atestaciones criptográficas de compilación. Las versiones maliciosas de Axios no tenían procedencia OIDC. Configurar su proxy de paquetes para rechazar paquetes sin procedencia los habría detectado inmediatamente.
Controle sus lanzamientos
Separe la capacidad de escribir código de la capacidad de publicarlo. Requiera múltiples aprobaciones para lanzamientos. No permita que una sola cuenta comprometida publique directamente a producción.
Segmente los permisos de CI/CD
El ataque a LiteLLM se propagó porque un conjunto de credenciales desbloqueó acceso a múltiples sistemas. Limite el alcance de sus tokens de automatización. Use credenciales de corta duración. Audite qué sistemas tienen derechos de publicación y limite el radio de explosión de cualquier compromiso individual.
Audite su pipeline de lanzamiento
La filtración de Claude Code ocurrió porque un archivo de depuración llegó a un paquete de producción. Verificaciones automatizadas de source maps, artefactos de depuración y archivos sensibles en su pipeline de lanzamiento pueden detectarlos antes de que se publiquen.
Trate las credenciales como si ya estuvieran en riesgo
Rote tokens regularmente. Use tokens de corta duración y alcance limitado para automatización en lugar de tokens de acceso personal de larga duración. Monitoree actividad de publicación inesperada.
Cómo Ayuda EB DevTech
Este es exactamente el tipo de trabajo que hacemos todos los días.
En EB DevTech, ayudamos a las empresas a construir la base operativa donde pueden moverse rápido y aún dormir tranquilos. Trabajamos con su equipo para asegurar pipelines de compilación, verificar dependencias antes de que lleguen a producción, segmentar permisos para que una mala credencial no genere una bola de nieve, y poner los controles que detectan brechas de proceso antes de que se conviertan en titulares.
La IA avanza a un ritmo increíble ahora mismo. Eso es emocionante. Pero velocidad sin estructura es solo caos con fecha límite. Le ayudamos a mantener la velocidad y agregar la estructura.
Las herramientas son increíbles. Asegurémonos de que su proceso también lo sea.
¿Quiere adelantarse a los riesgos de cadena de suministro?
Déjenos ayudarle a asegurar sus pipelines de compilación, aplicar gobernanza de dependencias y auditar su postura de seguridad CI/CD.
Contactar EB DevTechFuentes
- Google Cloud Blog — "North Korea-Nexus Threat Actor Compromises Widely Used Axios NPM Package in Supply Chain Attack"
- Snyk — "Axios npm Package Compromised: Supply Chain Attack Delivers Cross-Platform RAT"
- The Hacker News — "Axios Supply Chain Attack Pushes Cross-Platform RAT via Compromised npm Account"
- The Hacker News — "Google Attributes Axios npm Supply Chain Attack to North Korean Group UNC1069"
- Sophos — "Axios npm package compromised to deploy malware"
- SOCRadar — "Axios npm Hijack 2026: Everything You Need to Know"
- Snyk — "How a Poisoned Security Scanner Became the Key to Backdooring LiteLLM"
- Datadog Security Labs — "LiteLLM and Telnyx compromised on PyPI"
- Wiz — "TeamPCP Trojanizes LiteLLM in Continuation of Campaign"
- FutureSearch — "litellm 1.82.8 Supply Chain Attack on PyPI"
- Sonatype — "Compromised litellm PyPI Package Delivers Multi-Stage Credential Stealer"
- The Record — "Supply chain attack hits widely-used AI package"
- Microsoft Security Blog — "Guidance for detecting, investigating, and defending against the Trivy supply chain compromise"
- DreamFactory — "Five Supply Chain Attacks in Twelve Days"
- VentureBeat — "Claude Code's source code appears to have leaked"
- Axios — "Anthropic leaked its own Claude source code"
- The Register — "Anthropic accidentally exposes Claude Code source code"
- CNBC — "Anthropic leaks part of Claude Code's internal source code"
- The Hacker News — "Claude Code Source Leaked via npm Packaging Error"