{"id":2165,"date":"2025-09-09T01:55:20","date_gmt":"2025-09-09T01:55:20","guid":{"rendered":"https:\/\/bitcoinnewscrypto.com\/es\/?p=2165"},"modified":"2025-09-09T01:55:20","modified_gmt":"2025-09-09T01:55:20","slug":"crypto-supply-chain-attack-npm-malware","status":"publish","type":"post","link":"https:\/\/bitcoinnewscrypto.com\/es\/news\/solana\/crypto-supply-chain-attack-npm-malware\/","title":{"rendered":"\u00a1Alerta Cripto! Nuevo ciberataque roba fondos a usuarios: \u00a1Peligro en la cadena de suministro!"},"content":{"rendered":"<p>Una nueva ciberataque est\u00e1 robando criptomonedas a los usuarios mientras env\u00edan transacciones, y muchos expertos lo califican como el mayor ataque a la cadena de suministro en la historia. Los hackers irrumpieron en las cuentas de los mantenedores de paquetes npm utilizando correos electr\u00f3nicos de phishing. Estos correos electr\u00f3nicos parec\u00edan provenir de &#8220;<a href=\"mailto:support@npmjs.help\">support@npmjs.help<\/a>&#8220;, que imitaba el registro real de npm. Los mensajes dec\u00edan a los desarrolladores que sus cuentas se bloquear\u00edan a menos que actualizaran su autenticaci\u00f3n de dos factores. Cuando los mantenedores hac\u00edan clic en el enlace, los atacantes obten\u00edan sus datos de inicio de sesi\u00f3n y colocaban malware dentro de paquetes npm populares.<\/p>\n\n<p>Dieciocho bibliotecas JavaScript ampliamente utilizadas fueron comprometidas, incluyendo chalk, debug y ansi-styles. Juntos, estos paquetes obtienen miles de millones de descargas cada semana y son utilizados por desarrolladores de todo el mundo. Esto significa que todo el ecosistema JavaScript podr\u00eda haber sido expuesto. BleepingComputer inform\u00f3 que los atacantes inyectaron c\u00f3digo en estas bibliotecas que actuaba como un interceptor basado en navegador. Este c\u00f3digo vigilaba el tr\u00e1fico de la red y buscaba transacciones de criptomonedas en Bitcoin, Ethereum, Solana, Tron, Litecoin y Bitcoin Cash. Cuando alguien enviaba una transferencia, el malware reemplazaba la direcci\u00f3n real de la billetera con una controlada por los hackers antes de que se firmara la transacci\u00f3n.<\/p>\n\n<p>El investigador de seguridad Charlie Eriksen explic\u00f3 que el malware funciona de varias maneras. Cambia lo que se muestra en los sitios web, manipula las llamadas API y enga\u00f1a a las aplicaciones para que firmen transacciones que el usuario no pretend\u00eda. Charles Guillemet, el CTO de Ledger, advirti\u00f3 que el ataque a\u00fan est\u00e1 activo y dijo que los usuarios de criptomonedas deber\u00edan evitar hacer transacciones en la cadena si solo utilizan billeteras de software. Los usuarios de billeteras de hardware pueden protegerse verificando los detalles antes de firmar, pero cualquiera que no tenga una se enfrenta a un riesgo mayor.<\/p>\n\n<p>Los investigadores tambi\u00e9n encontraron que la infraestructura de phishing enviaba los detalles robados a &#8220;websocket-api2.publicvm.com&#8221;. Esto muestra que el ataque estaba bien coordinado. Sigue a otros incidentes de npm a principios de este a\u00f1o, incluido uno en marzo que parche\u00f3 el paquete ethers con un shell inverso y otro en julio que apunt\u00f3 a eslint-config-prettier. La campa\u00f1a contin\u00faa evolucionando, y esta vez los atacantes utilizaron contratos inteligentes de Ethereum de una nueva manera. Dos paquetes npm llamados colortoolsv2 y mimelib2 ocultaron comandos maliciosos dentro de contratos inteligentes de Ethereum. Una vez descargados, los paquetes instalaron malware de segunda fase, lo que dificult\u00f3 su detecci\u00f3n.<\/p>\n\n<p>Los contratos inteligentes de Ethereum son peque\u00f1os programas que se ejecutan en la blockchain. Son p\u00fablicos y act\u00faan como API abiertas. En este caso, los hackers los utilizaron para almacenar enlaces para descargar el malware, por lo que incluso si alguien revisaba el paquete, podr\u00eda no ver el c\u00f3digo peligroso. Este m\u00e9todo creativo de comando y control muestra c\u00f3mo los actores de amenazas se est\u00e1n adaptando para evitar la detecci\u00f3n.<\/p>\n\n<p>Los atacantes tambi\u00e9n intentaron hacer que sus repositorios de GitHub parecieran confiables. Crearon proyectos falsos como solana-trading-bot-v2 y ethereum-mev-bot-v2. Estos ten\u00edan muchas estrellas, observadores y commits, pero la mayor parte de esta actividad era falsa. Las cuentas se crearon al mismo tiempo, a menudo con un solo archivo, y los commits automatizados inflaron los n\u00fameros. Este truco de ingenier\u00eda social hizo que los repositorios parecieran reales para los desarrolladores que podr\u00edan incluir los paquetes npm maliciosos en su trabajo.<\/p>\n\n<p>Los expertos advierten que los ataques a la cadena de suministro son especialmente peligrosos porque se dirigen a herramientas confiables. Al ocultar malware dentro de bibliotecas de c\u00f3digo abierto, los hackers pueden llegar a millones de desarrolladores y usuarios finales a la vez. Solo este a\u00f1o, los investigadores encontraron m\u00e1s de veinte campa\u00f1as en npm, GitHub y PyPI destinadas a robar criptomonedas. Algunos utilizaron infostealers, otros desplegaron mineros de monedas, y muchos se basaron en el phishing para capturar datos confidenciales.<\/p>\n\n<p>Los Indicadores de Compromiso (IOC), como dominios sospechosos, c\u00f3digo ofuscado y repositorios falsos, ayudan a los equipos de seguridad a detectar estas amenazas. A\u00fan as\u00ed, muchos usuarios no se dar\u00e1n cuenta hasta que se hayan perdido fondos. Por ahora, los desarrolladores necesitan verificar cuidadosamente los paquetes, los mantenedores y el c\u00f3digo antes de usarlo. Los usuarios de criptomonedas deben considerar las billeteras de hardware y evitar hacer grandes transferencias hasta que la amenaza est\u00e9 bajo control. El ataque muestra la rapidez con la que evoluciona el cibercrimen y lo importante que es asegurar tanto las cadenas de suministro de software como los activos digitales.<\/p>","protected":false},"excerpt":{"rendered":"<p>Una nueva ciberataque est\u00e1 robando criptomonedas a los usuarios mientras env\u00edan transacciones, y muchos expertos lo califican como el mayor ataque a la cadena de suministro en la historia. Los&hellip;<\/p>\n","protected":false},"author":2,"featured_media":2166,"comment_status":"closed","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-2165","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-solana"],"_links":{"self":[{"href":"https:\/\/bitcoinnewscrypto.com\/es\/wp-json\/wp\/v2\/posts\/2165","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bitcoinnewscrypto.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bitcoinnewscrypto.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/es\/wp-json\/wp\/v2\/comments?post=2165"}],"version-history":[{"count":1,"href":"https:\/\/bitcoinnewscrypto.com\/es\/wp-json\/wp\/v2\/posts\/2165\/revisions"}],"predecessor-version":[{"id":2167,"href":"https:\/\/bitcoinnewscrypto.com\/es\/wp-json\/wp\/v2\/posts\/2165\/revisions\/2167"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/es\/wp-json\/wp\/v2\/media\/2166"}],"wp:attachment":[{"href":"https:\/\/bitcoinnewscrypto.com\/es\/wp-json\/wp\/v2\/media?parent=2165"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/es\/wp-json\/wp\/v2\/categories?post=2165"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/es\/wp-json\/wp\/v2\/tags?post=2165"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}