La ciberseguridad global enfrenta una nueva ofensiva. Actores respaldados por Corea del Norte están ejecutando sofisticados ataques contra proyectos de código abierto esenciales para la web.
Su objetivo es comprometer la cadena de suministro de software mediante ingeniería social y código malicioso. Un incidente reciente en LiteLLM y otro contra Axios revelan esta táctica creciente. Un análisis técnico de Casco detalla el posible modus operandi.
Los ataques a la cadena de suministro de software representan una amenaza crítica. Estos no apuntan a una empresa final, sino a las bibliotecas y herramientas que miles de desarrolladores usan.
Al infectar un componente básico, los atacantes pueden propagar su código a todas las aplicaciones que lo integran.
En marzo de 2026, el equipo de LiteLLM reportó un incidente de seguridad en su proyecto. Sospecharon de un ataque a su cadena de suministro. Pocos días después, se discutió públicamente un ataque de ingeniería social compleja contra la biblioteca Axios.
La estrategia norcoreana parece enfocarse en esta vulnerabilidad sistémica. Un artículo de TechCrunch detalla cómo un ataque a un proyecto muy utilizado pudo requerir semanas de preparación y acercamiento al mantenedor.
El análisis de Casco, basado en una investigación del ecosistema, describe un patrón común en estos ataques. Según su publicación, el proceso tendría tres fases claras.
Iniciación del ataque
Los atacantes identifican un proyecto popular con un mantenedor único o un equipo pequeño. Inician un acercamiento sutil, a veces presentándose como contribuidores legítimos.
Ingeniería social e inserción
Ganada cierta confianza, intentan introducir cambios maliciosos. Según Casco, en un caso analizado relacionado con la biblioteca Better-Auth, un contribuidor intentó agregar código malicioso directamente mediante un pull request.
Este código intentaría descargar cargas útiles adicionales.
Ejecución y persistencia
El código implantado establece conexión con un servidor de comando y control. Esto permite el robo de datos o el acceso a las máquinas infectadas. La táctica recordaría al método “EtherHiding” previamente atribuido a Corea del Norte.
El impacto de un solo ataque exitoso es masivo y difícil de contener. Una biblioteca comprometida se propaga automáticamente a todas las aplicaciones que la actualicen. Esto afecta desde startups hasta grandes corporaciones, comprometiendo datos sensibles e integridad de sistemas.
La Cámara de Comercio Internacional ya alertaba en un documento de 2024 sobre los riesgos para las infraestructuras críticas y sus cadenas de suministro. Estos ataques convierten a los desarrolladores de confianza en un vector de ataque involuntario. La defensa requiere una vigilancia colectiva sin precedentes en la comunidad de código abierto.
La seguridad del código abierto se encuentra en una encrucijada. Estos proyectos son el cimiento de la internet moderna, pero su modelo colaborativo y abierto los hace vulnerables. Los ataques atribuidos a estados-nación elevan la apuesta, buscando un efecto multiplicador con un solo golpe preciso.
La respuesta debe ser proporcional. Las empresas que dependen críticamente de este software deben aumentar su escrutinio. Los mantenedores de proyectos necesitan más recursos y herramientas para verificar contribuciones.