El director de tecnología de Ledger, Charles Guillemet, advirtió que una cuenta comprometida del Gestor de Paquetes de Nodo (NPM) ha generado actualizaciones maliciosas en paquetes de uso común, como error-ex, color-convert y strip-ansi. Investigadores de seguridad descubrieron que el malware inyectado funciona como un "recortador de criptomonedas". Secuestra silenciosamente las direcciones de billetera en las solicitudes de red y las reemplaza con direcciones controladas por el atacante.
El ataque a la cadena de suministro se activa independientemente de si se detecta una billetera de criptomonedas. Si existe una billetera como MetaMask, el malware intercepta y manipula directamente las solicitudes de transacción. Escanea datos en busca de direcciones de billeteras en Bitcoin, Ethereum, Solana, Tron, Litecoin y otras redes.
Estas se reemplazan con direcciones de atacantes de apariencia similar mediante un algoritmo de coincidencia de cadenas. Este engaño dificulta que las víctimas detecten los cambios. Recientemente, World Liberty Financial reveló por qué incluyó en la lista negra 272 billeteras , lo que destaca los riesgos más amplios que enfrenta la seguridad de las billeteras.
Los desarrolladores detectaron por primera vez el código malicioso del ataque a la cadena de suministro tras un fallo de compilación críptico durante la ejecución de una canalización. En lugar de la versión estable 1.3.2, sus sistemas instalaron la versión 1.3.3 de error-ex, recientemente publicada. Esta versión contenía código altamente ofuscado, incluyendo una función sospechosa llamada checkethereumw. La investigación confirmó que robaba datos de criptomonedas y redirigía fondos.
Guillemet instó a la cautela. Aconsejó a los usuarios con monederos físicos que revisaran cuidadosamente cada transacción antes de firmarla. Para quienes no tuvieran protección física, recomendó pausar todas las transacciones en cadena hasta que se resolviera la amenaza. Añadió que aún no está claro si los atacantes pueden robar directamente las frases semilla de los monederos de software.
Nuevas revelaciones, incluyendo un informe de Arkham sobre el hackeo de 127,426 Bitcoins al pool de minería Lubian , resaltan el posible alcance de las vulnerabilidades, incluyendo un ataque a la cadena de suministro. A pesar de los crecientes temores, Jupiter, el principal agregador DEX de Solana, afirmó no verse afectado. El equipo afirmó que Jupiter y Jup Mobile no utilizan versiones de paquetes comprometidas. Añadieron que han revisado el código fuente y aseguraron a los usuarios que sus productos son seguros.
