Por Angel Di Matteo 𝕏 @shadowargelUn sofisticado ataque a la cadena de suministro de software comprometió decenas de paquetes del ecosistema Arweave, permitiendo a los atacantes distribuir un malware capaz de robar claves API, credenciales de nube, accesos a GitHub y archivos de billeteras cripto. La campaña, identificada por investigadores de JFrog, utilizó una cuenta legítima comprometida para propagar el código malicioso entre desarrolladores.
***
- Investigadores descubrieron malware oculto en 36 paquetes npm vinculados al ecosistema Arweave.
- El programa malicioso buscaba claves de AWS, OpenAI, Anthropic, GitHub y billeteras cripto.
- Los atacantes utilizaron credenciales robadas para infectar nuevos repositorios y expandir la campaña.
- Expertos recomiendan rotar inmediatamente credenciales y habilitar autenticación multifactor.
🚨 Malware en Arweave: ¡Alerta! 🚨
Investigadores de JFrog detectaron IronWorm, un malware oculto en 36 paquetes npm de Arweave.
Este malware roba claves API, credenciales de nube y billeteras cripto.
Los atacantes utilizaron una cuenta legítima para propagar el código… pic.twitter.com/dKayedV1TD
— Diario฿itcoin (@DiarioBitcoin) June 6, 2026
La seguridad del ecosistema de desarrollo volvió a quedar bajo la lupa tras descubrirse una campaña de malware que afectó al menos 36 paquetes npm relacionados con Arweave y WeaveDB.
Según un informe publicado por la firma de seguridad JFrog, los atacantes comprometieron una cuenta legítima de npm perteneciente al usuario “asteroiddao”, asociado al proyecto descentralizado WeaveDB dentro del ecosistema Arweave.
Una vez obtenieron acceso a la cuenta, republicaron todos los paquetes vinculados incorporando un archivo malicioso oculto que se ejecutaba automáticamente cuando un desarrollador realizaba una simple instalación mediante npm install.
La amenaza fue bautizada como IronWorm, un malware desarrollado en Rust diseñado específicamente para robar información sensible de equipos utilizados por desarrolladores.
Credenciales de IA, nube y criptomonedas bajo ataque
El análisis de JFrog reveló que IronWorm realizaba una búsqueda exhaustiva dentro de los sistemas infectados.
Entre sus objetivos figuraban 86 variables de entorno y al menos 20 tipos distintos de archivos con credenciales.
El malware intentaba obtener tokens de acceso de AWS, claves API de servicios de inteligencia artificial como OpenAI y Anthropic, credenciales de npm, accesos a GitHub, claves SSH y archivos asociados a billeteras de criptomonedas, incluyendo la popular wallet Exodus.
La amplitud de la recolección demuestra que los atacantes no buscaban únicamente activos digitales, sino también acceso a infraestructura tecnológica y recursos de inteligencia artificial que podrían ser utilizados posteriormente para otros ataques.
El verdadero peligro: propagarse automáticamente
Uno de los aspectos más preocupantes del malware era su capacidad de expansión. Una vez obtenía credenciales válidas de GitHub, IronWorm intentaba utilizarlas para realizar commits maliciosos en repositorios a los que la víctima tuviera acceso. Estos cambios añadían nuevamente el malware a otros proyectos, creando un mecanismo de propagación similar al de un gusano informático moderno.
Los investigadores identificaron 57 commits fraudulentos distribuidos entre nueve organizaciones distintas de GitHub. Para ocultar sus actividades, los atacantes utilizaron el nombre de autor “claude” y manipularon las fechas de los commits para hacerlos parecer antiguos y legítimos.
Sin embargo, los registros de GitHub Actions permitieron confirmar que todos habían sido realizados pocos días antes del descubrimiento.
Rootkits, Tor y errores operativos
El malware también incluía capacidades más avanzadas. JFrog descubrió que IronWorm desplegaba un rootkit basado en tecnología eBPF para ocultar su presencia dentro del sistema comprometido. Además, las comunicaciones con los servidores de los atacantes eran canalizadas a través de la red Tor para dificultar el rastreo.
Paradójicamente, los propios operadores cometieron varios errores que facilitaron la investigación. Entre ellos destacaba la inclusión accidental del código fuente del rootkit dentro del binario final, así como la presencia de una frase semilla de recuperación de criptomonedas codificada directamente en el malware.
Los investigadores creen que esta última fue incluida para evitar que el propio malware robara las credenciales de los desarrolladores durante las pruebas internas.
Un problema creciente en npm
El incidente se suma a una larga lista de ataques recientes contra el ecosistema npm, una de las plataformas más utilizadas por desarrolladores de JavaScript y Node.js.
A mediados de mayo, atacantes aprovecharon el dominio expirado de un mantenedor inactivo para comprometer el popular paquete node-ipc, que registraba más de 800.000 descargas semanales.
De forma paralela, otras firmas de seguridad identificaron campañas similares utilizando malware JavaScript diseñado para infectar repositorios y pipelines de desarrollo.
Estos incidentes reflejan un patrón cada vez más frecuente: los atacantes ya no se enfocan únicamente en usuarios finales, sino en comprometer directamente las herramientas y bibliotecas utilizadas por miles de desarrolladores.
Qué deben hacer los afectados
Los expertos recomiendan que cualquier desarrollador que haya instalado versiones comprometidas de los paquetes afectados actúe de inmediato.
Entre las medidas sugeridas se encuentran la rotación completa de credenciales, la revisión de dependencias y archivos de bloqueo (lock files), la regeneración de claves API sensibles y la activación de autenticación de dos factores tanto en GitHub como en npm.
Aunque los paquetes maliciosos fueron retirados rápidamente y la propagación parece haber sido contenida antes de alcanzar una escala mayor, el incidente vuelve a demostrar cómo un único punto comprometido puede transformarse en una amenaza para miles de desarrolladores y organizaciones conectadas a una misma cadena de suministro de software.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
IA
Ingeniero que descubrió falla crítica de Zcash ahora apunta a Monero
Empresas
Uber compromete cerca de USD $500 millones en Nuro para acelerar despliegue de robotaxis
IA
OpenAI activa modo de bloqueo en ChatGPT para frenar ataques de inyección de comandos
Capital de Riesgo