Una nueva ciberataque está robando criptomonedas a los usuarios mientras envían transacciones, y muchos expertos lo califican como el mayor ataque a la cadena de suministro en la historia. Los hackers irrumpieron en las cuentas de los mantenedores de paquetes npm utilizando correos electrónicos de phishing. Estos correos electrónicos parecían provenir de “[email protected]“, que imitaba el registro real de npm. Los mensajes decían a los desarrolladores que sus cuentas se bloquearían a menos que actualizaran su autenticación de dos factores. Cuando los mantenedores hacían clic en el enlace, los atacantes obtenían sus datos de inicio de sesión y colocaban malware dentro de paquetes npm populares.
Dieciocho bibliotecas JavaScript ampliamente utilizadas fueron comprometidas, incluyendo chalk, debug y ansi-styles. Juntos, estos paquetes obtienen miles de millones de descargas cada semana y son utilizados por desarrolladores de todo el mundo. Esto significa que todo el ecosistema JavaScript podría haber sido expuesto. BleepingComputer informó que los atacantes inyectaron código en estas bibliotecas que actuaba como un interceptor basado en navegador. Este código vigilaba el tráfico de la red y buscaba transacciones de criptomonedas en Bitcoin, Ethereum, Solana, Tron, Litecoin y Bitcoin Cash. Cuando alguien enviaba una transferencia, el malware reemplazaba la dirección real de la billetera con una controlada por los hackers antes de que se firmara la transacción.
El investigador de seguridad Charlie Eriksen explicó que el malware funciona de varias maneras. Cambia lo que se muestra en los sitios web, manipula las llamadas API y engaña a las aplicaciones para que firmen transacciones que el usuario no pretendía. Charles Guillemet, el CTO de Ledger, advirtió que el ataque aún está activo y dijo que los usuarios de criptomonedas deberían evitar hacer transacciones en la cadena si solo utilizan billeteras de software. Los usuarios de billeteras de hardware pueden protegerse verificando los detalles antes de firmar, pero cualquiera que no tenga una se enfrenta a un riesgo mayor.
Los investigadores también encontraron que la infraestructura de phishing enviaba los detalles robados a “websocket-api2.publicvm.com”. Esto muestra que el ataque estaba bien coordinado. Sigue a otros incidentes de npm a principios de este año, incluido uno en marzo que parcheó el paquete ethers con un shell inverso y otro en julio que apuntó a eslint-config-prettier. La campaña continúa evolucionando, y esta vez los atacantes utilizaron contratos inteligentes de Ethereum de una nueva manera. Dos paquetes npm llamados colortoolsv2 y mimelib2 ocultaron comandos maliciosos dentro de contratos inteligentes de Ethereum. Una vez descargados, los paquetes instalaron malware de segunda fase, lo que dificultó su detección.
Los contratos inteligentes de Ethereum son pequeños programas que se ejecutan en la blockchain. Son públicos y actúan como API abiertas. En este caso, los hackers los utilizaron para almacenar enlaces para descargar el malware, por lo que incluso si alguien revisaba el paquete, podría no ver el código peligroso. Este método creativo de comando y control muestra cómo los actores de amenazas se están adaptando para evitar la detección.
Los atacantes también intentaron hacer que sus repositorios de GitHub parecieran confiables. Crearon proyectos falsos como solana-trading-bot-v2 y ethereum-mev-bot-v2. Estos tenían muchas estrellas, observadores y commits, pero la mayor parte de esta actividad era falsa. Las cuentas se crearon al mismo tiempo, a menudo con un solo archivo, y los commits automatizados inflaron los números. Este truco de ingeniería social hizo que los repositorios parecieran reales para los desarrolladores que podrían incluir los paquetes npm maliciosos en su trabajo.
Los expertos advierten que los ataques a la cadena de suministro son especialmente peligrosos porque se dirigen a herramientas confiables. Al ocultar malware dentro de bibliotecas de código abierto, los hackers pueden llegar a millones de desarrolladores y usuarios finales a la vez. Solo este año, los investigadores encontraron más de veinte campañas en npm, GitHub y PyPI destinadas a robar criptomonedas. Algunos utilizaron infostealers, otros desplegaron mineros de monedas, y muchos se basaron en el phishing para capturar datos confidenciales.
Los Indicadores de Compromiso (IOC), como dominios sospechosos, código ofuscado y repositorios falsos, ayudan a los equipos de seguridad a detectar estas amenazas. Aún así, muchos usuarios no se darán cuenta hasta que se hayan perdido fondos. Por ahora, los desarrolladores necesitan verificar cuidadosamente los paquetes, los mantenedores y el código antes de usarlo. Los usuarios de criptomonedas deben considerar las billeteras de hardware y evitar hacer grandes transferencias hasta que la amenaza esté bajo control. El ataque muestra la rapidez con la que evoluciona el cibercrimen y lo importante que es asegurar tanto las cadenas de suministro de software como los activos digitales.
