Por Angel Di Matteo @shadowargelEl CTO de Ledger alerta sobre una brecha de seguridad y la difusión de malware a gran escala, el cual compromete paquetes ampliamente utilizados en JavaScript, los cuales ahora podrían ser empleados para robar criptomonedas durante las transacciones.
***
- Un ataque comprometió la cuenta del desarrollador qix en NPM, infectando paquetes de uso masivo.
- Las bibliotecas afectadas suman más de 1.000 millones de descargas semanales.
- El malware es un sofisticado “crypto-clipper” diseñado para robar criptomonedas.
Charles Guillement, CTO de Ledger, alertó a toda la comunidad cripto sobre una vulnerabilidad a gran escala presente en el ecosistema de JavaScript, la cual estaría siendo utilizada por malos actores para hacerse con las criptomonedas de usuarios de monederos físicos y digitales.
En un mensaje publicado en su cuenta de X, Guillement alerta sobre la vulnerabilidad, indicando que la cuenta NPM de un reconocido desarrollador fue comprometida, y esto derivó en la difusión de muchos paquetes afectados que ya se han descargado “más de mil millones de veces”, poniendo en riesgo todo el ecosistema de JavaScript, afectando especialmente a usuarios cripto que realizan operaciones.
Al respecto, Guillement indica que el código malicioso “funciona intercambiando silenciosamente direcciones criptográficas sobre la marcha para robar fondos”. Por ende, advierte que si el usuario emplea una billetera física, “debe prestar atención a cada transacción antes de firmar y estar seguro”. En caso de que se trate de una wallet digital, recomienda abstenerse de realizar operaciones.
En cuanto a la vulnerabilidad, el directivo de Ledger comparte un informe donde se ofrecen más detalles técnicos. El mismo detalla que se publicaron versiones maliciosas de paquetes como “chalk, strip-ansi, color-convert e is-core-module“, los cuales han sido ampliamente descargados y utilizados, por lo que el impacto podría ser devastador.
“Estas bibliotecas no son herramientas marginales, sino bloques fundamentales que se encuentran profundamente integrados en la mayoría de los proyectos web modernos. En conjunto, registran más de 1.000 millones de descargas semanales, lo que convierte este ataque en una amenaza de escala global”, indica el informe.
Detalles técnicos: cómo comenzó todo
El descubrimiento no se produjo con una alerta evidente, sino con un error en un flujo de integración continua (CI/CD). Una simple excepción, ReferenceError: fetch is not defined, despertó la curiosidad de los desarrolladores afectados.
Al investigar, hallaron que la dependencia error-ex había sido actualizada de la versión estable 1.3.2 a una versión sospechosa 1.3.3. Mientras que la primera contenía apenas una línea limpia de código, la nueva incluía cientos de líneas ofuscadas, diseñadas para ocultar su verdadera función. Entre ellas, una llamada con nombre alarmante: checkethereumw.
Tras analizar el código, los investigadores descubrieron que se trataba de un “crypto-clipper”, un malware especializado en robar fondos de criptomonedas. El ataque se basa en dos métodos complementarios:
-
Intercepción pasiva de direcciones: el software modifica las funciones nativas de fetch y XMLHttpRequest en los navegadores para interceptar datos. Con una lista de direcciones controladas por atacantes en BTC, ETH, SOL, TRX, LTC y BCH, reemplaza las legítimas de los usuarios por las más similares visualmente mediante el algoritmo de distancia de Levenshtein.
-
Manipulación activa de transacciones: si detecta la presencia de una billetera como MetaMask, intercepta solicitudes como eth_sendTransaction. El malware sustituye la dirección del destinatario dentro de la transacción antes de que el usuario la firme, desviando los fondos al atacante.
El ingenio del código radica en la capacidad de engañar al ojo humano, dificultando que un usuario note la alteración antes de aprobar una transacción.
La magnitud de la amenaza
El análisis confirmó que múltiples bibliotecas críticas habían sido comprometidas. Las cifras son alarmantes: chalk registra 300 millones de descargas semanales, strip-ansi supera los 260 millones y color-convert roza los 200 millones. En total, los paquetes afectados representan más de 1.070 millones de descargas a la semana.
Esto implica que la superficie de ataque abarca desde pequeños proyectos hasta aplicaciones corporativas y servicios de gran escala. La transparencia de las cadenas de bloques permitió identificar direcciones de los atacantes, como la 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976 en Ethereum, con actividad pública en Etherscan.
Medidas urgentes de protección
El incidente resalta la fragilidad de la cadena de suministro de software y la necesidad de medidas de seguridad proactivas. Los expertos recomiendan pasos inmediatos:
- Usar NPC ci en las canalizaciones de construcción, para asegurar instalaciones basadas únicamente en el archivo package-lock.json.
- Forzar versiones seguras de dependencias mediante la función overrides en package.json, garantizando que se instalen únicamente versiones no comprometidas.
- Auditar dependencias de forma rutinaria, utilizando herramientas como npm audit, Snyk o Dependabot.
El ataque demuestra que incluso un error menor en compilación puede ser la pista de un problema sistémico. La confianza en el software abierto requiere de vigilancia continua y procesos de validación reforzados.
Impacto real hasta ahora
A pesar de la magnitud de la brecha, el atacante parece haber robado solo unos 5 centavos de ETH y USD $20 en una memecoin con un volumen de operaciones de USD $588 en las últimas 24 horas.
De hecho, parece que el mayor impacto financiero de todo este incidente serán las miles de horas que los equipos de ingeniería y seguridad de todo el mundo dedicaron a limpiar los entornos comprometidos, y los millones de dólares en contratos de venta que inevitablemente se firmarán como resultado de este nuevo caso práctico.
Artículo escrito con ayuda de un redactor de contenido de IA, editado por Angel Di Matteo / DiarioBitcoin
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Ethereum
MegaETH lanza stablecoin USDm en alianza con Ethena para reducir costos de transacción
Empresas
BitMine se convierte en la mayor tesorería corporativa de Ethereum: ya tiene más de 2 millones de ETH
Ethereum
USDD, stablecoin respaldada por Justin Sun, se expande a la red de Ethereum
DeFi