Autor de la noticia: Crypto Emergency
El material tiene un carácter informativo y no es una recomendación de seguridad. Los desarrolladores deben verificar urgentemente sus dependencias.
¿Qué sucedió?
Los hackers han comprometido el registro de paquetes NPM, la plataforma más grande para la distribución de bibliotecas de JavaScript, e insertaron código malicioso en 18 paquetes populares. El objetivo del ataque: robo de criptomonedas a través de la suplantación de direcciones de billeteras y la interceptación de transacciones en el navegador.
Según Aikido Security, el ataque comenzó con un correo electrónico de phishing dirigido a uno de los mantenedores bajo el seudónimo qix. Los atacantes accedieron a su cuenta y comenzaron a publicar versiones infectadas de las bibliotecas. Cuando el desarrollador intentó eliminar los paquetes maliciosos, perdió el acceso a la cuenta.
¿Cómo funciona el código malicioso?
El malware no afecta a los servidores o entornos de desarrollo. Se activa del lado del cliente —en el navegador— y:
- Intercepta la actividad de Web3
- Sustituye las direcciones de las criptobolsas
- Reescribe los destinos de las transacciones
- Muestra una interfaz correcta, pero redirige fondos a direcciones de hackers
¿Qué paquetes han sido infectados?
Entre los comprometidos están las bibliotecas que se utilizan en prácticamente cada segundo proyecto de JavaScript.
El volumen total de descargas de estos paquetes es de más de 2 mil millones a la semana.
¿Cómo se descubrió el ataque?
El sistema de monitoreo Aikido detectó actualizaciones sospechosas de paquetes inactivos desde hace tiempo. Por ejemplo, la biblioteca is-arrayish, que no se había actualizado en más de 5 años, de repente recibió una nueva versión con código malicioso ofuscado.
Recomendaciones para desarrolladores
Verificar urgentemente las dependencias y volver a versiones seguras
Usar herramientas de monitoreo de la cadena de suministro
Evitar actualizaciones automáticas sin verificación
Monitorear cuidadosamente las transacciones si la aplicación trabaja con criptomonedas
Ataques paralelos
Simultáneamente con el incidente en NPM, los analistas de PeckShield informaron sobre el hackeo de la plataforma descentralizada Nemo Protocol en la blockchain de Sui. Las pérdidas ascendieron a $2,4 millones.