Ataque masivo contra NPM sembró malware que roba criptomonedas
- Hackers comprometieron paquetes de JavaScript con miles de millones de descargas semanales en NPM para distribuir un malware que roba criptomonedas
- Aunque el ataque fracasó en gran medida gracias a una detección temprana, expone potenciales vulnerabilidades y la necesidad de seguridad reforzada para las billeteras de software
Una grave vulnerabilidad en la cadena de suministro del ecosistema JavaScript ha puesto en alerta a desarrolladores y usuarios de criptomonedas. En este sentido, un ataque masivo comprometió la cuenta de un desarrollador popular en NPM (Node Package Manager), el gestor de paquetes más utilizado del mundo, permitiendo a los atacantes publicar versiones maliciosas de librerías extremadamente populares como chalk y strip-ansi.
El objetivo del malware era robar criptomonedas directamente de los usuarios, especialmente de aquellos que utilizan billeteras de software. Aunque el impacto inicial calculado en fondos robados que apenas superan los $500, la amenaza se mantiene presente y evidencia la necesidad de reforzar la seguridad y mantenerse alerta.
Te puede interesar: Hackeos de criptomonedas dejan $163 millones en pérdidas durante agosto
Ataque a la cadena de suministro
El ataque se originó tras el hackeo de la cuenta NPM del desarrollador «qix», probablemente a través de un correo electrónico de phishing que suplantaba al equipo de soporte de NPM, según reveló Charles Guillemet, CTO de Ledger, uno de los primeros en alertar sobre la situación.
Suscríbete y recibe las mejores actualizaciones e informes en tu bandeja de entrada
Una vez con el control, los atacantes inyectaron código malicioso en docenas de paquetes que, en conjunto, suman más de mil millones de descargas semanales, como detalló un reporte técnico completo sobre la amenaza realizado por Jan-David Stärk.
Este método, conocido como ataque a la cadena de suministro, es particularmente peligroso porque el malware se distribuye a través de actualizaciones de software aparentemente legítimas, infectando a un número masivo de proyectos y usuarios finales que dependen de estas librerías.
El código malicioso era un «cripto-clipper» diseñado para operar de dos maneras. De forma pasiva, interceptaba los datos del navegador para detectar direcciones de Bitcoin y criptomonedas como Ethereum, Solana, entre otras, y las reemplazaba por una dirección del atacante que era visualmente muy similar, dificultando su detección.
De forma activa y más peligrosa, el malware era capaz de secuestrar transacciones. Cuando un usuario en un sitio web comprometido iniciaba una operación, el código modificaba la dirección del destinatario en la memoria antes de que la transacción fuera enviada a la billetera de software (como MetaMask) para su firma.
Te puede interesar: Estafas en redes sociales: amenaza creciente para billeteras cripto
Clave la detección temprana: sólo $500 robados en criptomonedas
Afortunadamente, el ataque fracasó en gran medida y tuvo un impacto limitado con «casi ninguna víctima», según Guillemet. La detección se produjo de forma casi accidental, cuando el malware provocó errores en las tuberías de integración continua (CI/CD) de algunos proyectos. El código malicioso utilizaba una función fetch que no estaba presente en entornos de Node.js más antiguos, lo que causó que las compilaciones fallaran y levantaran las alarmas. Este error de los atacantes fue clave para una rápida neutralización del ataque.
Una de las direcciones de Ethereum identificadas del atacante, compartida por la firma Arkham, evidencia que el impacto ha sido prácticamente mínimo en comparación con su alcance masivo, con apenas $503 en criptomonedas robadas, principalmente en memecoins. No obstante, aunque el ataque fue contenido de momento, es posible que esta cifra y su alcance pueda aumentar con los días a medida en que los desarrolladores y proyectos auditan sus dependencias.
Te puede interesar: ¡Cuidado! JSCEAL usa anuncios y app falsas para robar criptomonedas
Lección de seguridad clave
El incidente, sin embargo, ha servido como un duro recordatorio sobre la seguridad en el ecosistema cripto. Los usuarios más vulnerables a este tipo de ataque son aquellos que utilizan billeteras de software, ya que operan directamente en el entorno del navegador o del sistema operativo, que puede ser comprometido.
Si un usuario no revisa meticulosamente la dirección de destino en la pantalla de confirmación de su billetera de software, puede terminar aprobando sin saberlo una transacción que envía sus criptomonedas directamente a los atacantes.
En contraste, los usuarios de billeteras de hardware (como Ledger o Trezor) no se vieron afectados directamente por esta amenaza. Estos dispositivos están diseñados para aislar las claves privadas del entorno del ordenador o del teléfono, por lo que cada transacción debe ser verificada y confirmada físicamente en la pantalla del propio dispositivo antes de enviar criptomonedas.
