Alerta · Publicado 20/04/2026 · Actualizado 30/05/2026
CISA advierte sobre un compromiso de seguridad en el paquete Axios del repositorio NPM, afectando aplicaciones Node.js en producción. Empresas en México y LATAM que utilicen Axios en sus stacks de desarrollo deben revisar versiones instaladas y evaluar exposición inmediata. Este tipo de compromisos en dependencias de código abierto representa riesgo crítico para infraestructuras web y aplicaciones empresariales.
The Cybersecurity and Infrastructure Security Agency (CISA) is releasing this alert to provide guidance in response to the software supply chain compromise of the Axios node package manager (npm).1 Axios is an HTTP client for JavaScript that developers commonly use in Node.js and browser environments. On March 31, 2026, two npm packages for versions axios@1.14.1 and axios@0.30.4 of Axios npm injected the malicious dependency plain-crypto-js@4.2.1 that downloads multi-stage payloads from cyber threat actor infrastructure, including a remote access trojan.2 CISA urges organizations to implement the following recommendations to detect and remediate a potential compromise: Monitor and review code repositories, continuous integration/continuous delivery (CI/CD) pipelines, and devel
Alerta publicada por CISA / US-CERT. Consulta el advisory completo para detalles técnicos, indicadores de compromiso y mitigaciones específicas.