El CTO de Ledger alerta sobre una brecha en NPM que pone en riesgo la seguridad cripto
Una brecha a gran escala en la cadena de suministro ha sacudido a la comunidad de código abierto después de que hackers comprometieran la cuenta del Node Package Manager (NPM) de un desarrollador respetable. Paquetes ampliamente usados se vieron afectados, generando grandes preocupaciones en todo el ecosistema de JavaScript.
En breve
- Los hackers tomaron control de una cuenta de desarrollador respetable de NPM, ocasionando una brecha en la cadena de suministro que puso en riesgo a la comunidad JavaScript.
- Más de mil millones de descargas de paquetes comprometidos aumentaron el temor de una exposición generalizada en todo el ecosistema.
- Charles Guillemet, CTO de Ledger, recomendó verificar cada transacción y usar carteras de hardware con pantallas seguras para protección.
La brecha de NPM genera preocupación por la seguridad de las carteras
Charles Guillemet, director de tecnología de Ledger, reveló la magnitud de la amenaza. Reportó que una cuenta importante de NPM había sido secuestrada y que los paquetes afectados ya se habían descargado más de mil millones de veces. Dado este alcance, dijo que todo el ecosistema de JavaScript podría estar expuesto. El código malicioso actuaba silenciosamente, cambiando en tiempo real las direcciones de criptomonedas para desviar fondos hacia los atacantes.
Guillemet instó a la precaución. Explicó que los usuarios de carteras de hardware siguen seguros si verifican cuidadosamente cada transacción antes de aprobarla. Para quienes dependen de carteras de software, recomendó evitar transacciones on-chain hasta que la situación esté más clara. También indicó que aún no está claro si los atacantes están intentando extraer directamente las semillas de recuperación de las carteras de software.
El desarrollador confirma el secuestro de la cuenta
El mantenedor en el centro de la brecha, Josh Junon, confirmó que su cuenta de NPM había sido comprometida. En una publicación en Bluesky, explicó que el secuestro fue resultado de una campaña de phishing. Los atacantes habían configurado un dominio falso, ‘support [at] npmjs [dot]’ help, diseñado para parecerse al sitio oficial npmjs.com.
Los mantenedores recibieron correos electrónicos amenazantes que afirmaban que sus cuentas serían bloqueadas el 10 de septiembre de 2025. Estos mensajes incluían enlaces que redirigían a sitios de phishing diseñados para robar credenciales. El correo falso decía:
Para mantener la seguridad e integridad de su cuenta, le solicitamos amablemente que complete esta actualización a la brevedad. Tenga en cuenta que las cuentas con credenciales 2FA desactualizadas serán bloqueadas temporalmente a partir del 10 de septiembre de 2025 para evitar accesos no autorizados.
Otros desarrolladores pronto reportaron haber sido apuntados de la misma manera, confirmando que el esquema de phishing se extendió más allá de un solo mantenedor.
Respuesta a la brecha de NPM y análisis técnico
El equipo de NPM actuó rápidamente una vez detectada la brecha, procediendo a eliminar las versiones maliciosas subidas por los atacantes. Entre las eliminadas estuvo una versión del paquete debug, que se descarga cientos de millones de veces cada semana, con un estimado de alrededor de 357 millones.
Se realizó un análisis adicional por Aikido Security, y la investigación reveló lo siguiente:
- Los atacantes añadieron código malicioso en los archivos index.js de los paquetes secuestrados. Esto actuaba como un interceptor del navegador, secuestrando el tráfico y apuntando a usuarios de criptomonedas.
- El malware se incrustaba en los navegadores y se enganchaba a funciones como fetch, XMLHttpRequest, y APIs de carteras como window.ethereum y Solana, dándole acceso a la actividad web y de carteras.
- Una vez activo, escaneaba datos en busca de direcciones de carteras en Ethereum, Bitcoin, Solana, Tron, Litecoin y Bitcoin Cash. Las direcciones detectadas eran reemplazadas por otras controladas por los atacantes, a menudo diseñadas para parecer similares.
- Alteraba los detalles de las transacciones antes de firmarlas, cambiando destinatarios, aprobaciones o permisos mientras la interfaz parecía normal, enviando fondos a los atacantes.
- Para mantenerse oculto, evitaba cambios visibles cuando una cartera estaba presente, funcionando silenciosamente en segundo plano y manipulando transacciones reales.
Llamado a adoptar precauciones más estrictas
En comentarios para CoinDesk, Guillemet advirtió que las aplicaciones descentralizadas o las carteras de software que incluyen los paquetes comprometidos pueden no ser seguras, dejando a los usuarios de cripto en riesgo de perder fondos. Enfatizó que la salvaguarda más confiable es una cartera de hardware con pantalla segura que soporte Clear Signing.
Este enfoque permite a los usuarios verificar la dirección y los detalles de cada transacción directamente en la pantalla del dispositivo, asegurando que lo aprobado coincida con su intención.
Agregó que la situación es un recordatorio contundente de prácticas esenciales: “siempre verifique sus transacciones, nunca firme a ciegas.” También aconsejó el uso de una cartera de hardware con pantalla segura para ayudar a garantizar la seguridad.
¡Maximiza tu experiencia en Cointribune con nuestro programa "Read to Earn"! Por cada artículo que leas, gana puntos y accede a recompensas exclusivas. Regístrate ahora y comienza a acumular beneficios.
Ifeoluwa specializes in Web3 writing and marketing, with over 5 years of experience creating insightful and strategic content. Beyond this, he trades crypto and is skilled at conducting technical, fundamental, and on-chain analyses.
Las ideas y opiniones expresadas en este artículo pertenecen al autor y no deben tomarse como consejo de inversión. Haz tu propia investigación antes de tomar cualquier decisión de inversión.