Por Hannah Pérez Los actores maliciosos aprovechan la cadena de bloques de Ethereum para ocultar paquetes npm que utilizan para difundir malware, según un informe de ReversingLabs. La campaña también se extiende a GitHub.
***
- La campaña aprovecha los contratos inteligentes de Ethereum para ocultar malware en paquetes npm.
- Se trata de una nueva formula de ataque, que se esconde como tráfico de actividad legítima.
- El informe de ReversingLabs, que reveló la táctica maliciosa, encontró que la campaña se extiende a GitHub.
- Los hackers evolucionan sus tácticas para infiltrarse en el ecosistema de software abierto.
En un giro sorprendente en el mundo de la ciberseguridad, investigadores han descubierto que ciberdelincuentes están usando la tecnología de contratos inteligentes de Ethereum —esos programas automáticos que funcionan en la cadena de bloques de esta criptomoneda— para ocultar malware en paquetes de software populares.
Este método novedoso permite a los atacantes evadir detecciones y distribuir virus cibernético a través de repositorios como npm y GitHub, dos plataformas ampliamente usadas por desarrolladores para compartir código abierto. El hallazgo, revelado esta semana, resalta cómo los hackers están evolucionando sus tácticas para infiltrarse en el ecosistema de software abierto.
Una fórmula nueva de ataque
Según un informe detallado de la firma de seguridad ReversingLabs, publicado en su blog oficial, los paquetes maliciosos identificados son “colortoolsv2” y “mimelib2”. Estos se publicaron en npm —el mayor registro de paquetes para JavaScript, donde los programadores descargan herramientas para construir aplicaciones— en julio.
A simple vista, parecen utilidades inofensivas, pero en realidad ejecutan un script oculto que consulta un smart contract o contrato inteligente en Ethereum para obtener direcciones web secretas. Estas direcciones llevan a un servidor de “comando y control” (C2), desde donde se descarga un malware adicional que infecta el dispositivo del usuario.
Esta técnica resulta innovadora ya que, en lugar de incluir los enlaces maliciosos directamente en el código del paquete —lo que facilitaría su detección—, los hackers los están almacenando en la Blockchain de Ethereum, disfrazando el tráfico como actividad legítima relacionada con criptomonedas. “Esto es algo que no habíamos visto antes”, explicó Lucija Valentić, investigadora de ReversingLabs.
Esta amenaza “destaca la rápida evolución de las estrategias de evasión de detección por parte de actores maliciosos que merodean repositorios de código abierto y a los desarrolladores“, agregó.
Los paquetes fueron eliminados rápidamente de npm después de que los investigadores los reportaran, pero el daño potencial ya estaba hecho: cualquier desarrollador que los hubiera descargado podría haber introducido el virus en sus proyectos sin saberlo.
Campaña maliciosa se extiende a GitHub
La amenaza no se limita a npm. El informe revela que forma parte de una campaña más amplia que involucra repositorios falsos en GitHub, la plataforma colaborativa más grande para código abierto, popular entre desarrolladores de criptomonedas.
Por ejemplo, repositorios como “solana-trading-bot-v2”, “ethereum-mev-bot-v2” y “arbitrage-bot” se disfrazan de bots de comercio de criptomonedas para atraer a usuarios interesados en finanzas digitales. Estos repositorios parecen confiables a primera vista, con miles de “commits” (actualizaciones de código), estrellas de aprobación y contribuyentes activos. Sin embargo, todo es una ilusión.
En realidad, los commits son automáticos y triviales —como agregar o eliminar archivos de licencia repetidamente—, las estrellas provienen de cuentas falsas creadas en masa alrededor, y los contribuyentes son “cuentas títere” controladas por los hackers, con nombres como “pasttimerles”, “slunfuedrac” y “cnaovalles”, nota el informe.
Esta táctica de “ingeniería social” —engañar a las personas para que confíen en algo falso— hace que los desarrolladores incorporen estos paquetes maliciosos como dependencias en sus propios programas, propagando el malware sin darse cuenta.
Como señala Valentić: “Una vez que decidimos profundizar en los paquetes, descubrimos evidencia de una campaña mucho más grande que se extendía tanto en npm como en GitHub, intentando atraer a desarrolladores para que descargaran repositorios que incluían paquetes npm maliciosos”.
Desarrolladores cripto deben ser cautelosos
No es la primera vez que se ven ataques similares. En años anteriores, hackers han usado servicios confiables como GitHub Gists, Google Drive o OneDrive para esconder enlaces maliciosos. Pero integrar contratos inteligentes de Ethereum añade un toque “cripto” que complica aún más la detección, ya que el tráfico parece normal en entornos donde se maneja Blockchain.
El año pasado, se documentaron más de 20 campañas maliciosas similares en repositorios como npm y PyPI (para Python), muchas enfocadas en robar credenciales de billeteras de criptomonedas o instalar mineros ilegales, como recuerda CoinDesk.
Esto significa que incluso herramientas gratuitas y populares en Internet pueden ser trampas. Los desarrolladores, en particular aquellos en el mundo de las criptomonedas, deben ser cautelosos ya que datos como el número de estrellas o los commits pueden ser manipulados.
“Los desarrolladores y las organizaciones necesitan estar atentos a esfuerzos por implantar código malicioso en aplicaciones legítimas, acceder a activos sensibles y robar datos o activos digitales“, ha advertido Valentić. Las recomendaciones incluyen verificar el historial real de los repositorios y usar herramientas de análisis de seguridad antes de integrar cualquier paquete.
Este incidente subraya los riesgos crecientes en la cadena de suministro de software, donde un solo paquete infectado puede afectar millones de aplicaciones. También es la última señal de que los hackers se están adaptando rápidamente al ecosistema Blockchain, convirtiéndolo en un nuevo campo de batalla cibernética.
Artículo redactado con ayuda de IA, editado por DiarioBitcoin
Imagen de Unsplash
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Ethereum
La Fundación Ethereum venderá USD $43 millones en ETH para financiar proyectos y donaciones
Empresas
ETHZilla invertirá USD $100 millones en restaking líquido con EtherFi para reforzar tesorería Ethereum
China
Yunfeng Financial de Jack Ma invierte USD $44 millones en ETH para crear tesorería cripto
Bitcoin