Los hackers ocultan malware en contratos de Ethereum para evadir la detección
Los ataques a la cadena de suministro de software están evolucionando de manera preocupante mientras los ciberdelincuentes utilizan contratos inteligentes de Ethereum para ocultar código malicioso dentro de bibliotecas de código abierto. Investigaciones presentadas por la empresa de seguridad ReversingLabs muestran que los hackers ahora insertan instrucciones de comando y control dentro de contratos blockchain, complicando la detección y cierre por parte de los defensores. Este enfoque significa la mayor complejidad en la distribución de malware y que blockchain se está convirtiendo en una herramienta del cibercrimen.
En resumen
- Los atacantes ahora usan contratos inteligentes de Ethereum para ocultar malware en bibliotecas de código abierto.
- Paquetes maliciosos de npm recuperan cargas útiles vía blockchain, evadiendo defensas tradicionales.
- Repositorios falsos de GitHub amplifican ataques, alternando dependencias para propagar infecciones ampliamente.
Cómo funcionó el ataque
La campaña se dirigió principalmente a Node Package Manager (npm), una plataforma que aloja millones de paquetes JavaScript. Dos paquetes sospechosos, “colortoolsv2” y “mimelib2,” surgieron en julio y sirvieron como portadores del código malicioso.
En lugar de incrustar enlaces directamente dentro del paquete, el malware ejecutaba scripts ofuscados que consultaban contratos de Ethereum para recuperar la ubicación de la carga útil. En consecuencia, este método complicó los sistemas tradicionales de detección que normalmente marcan dominios maliciosos codificados.
Una vez que el script accedió al contrato inteligente, dirigió al paquete infectado para descargar un componente secundario de malware. Este diseño permitió a los atacantes mantener flexibilidad cambiando las ubicaciones de la carga útil en la blockchain, sin alterar el paquete npm en sí.
Además, la campaña usó repositorios temáticos de criptomonedas en GitHub llenos de estrellas falsas y commits generados para parecer legítimos, atrayendo a desarrolladores incautos a integrar los paquetes.
Campaña más amplia a través de plataformas de código abierto
Los investigadores de ReversingLabs descubrieron que los paquetes maliciosos de npm formaban parte de una campaña más extensa que se extendía a proyectos de GitHub. Repositorios falsos como “solana-trading-bot-v2” intentaron establecer credibilidad mediante commits automatizados y actividad comunitaria escenificada. Detrás de la fachada, los atacantes rotaban silenciosamente dependencias maliciosas bajo diferentes nombres, propagando la infección en múltiples proyectos.
Además, este ataque siguió incidentes anteriores detectados por firmas de seguridad donde npm y GitHub fueron explotados para impulsar bots de trading fraudulentos y utilidades cripto. Por lo tanto, la última campaña marca una evolución preocupante, mostrando que los actores de amenazas no solo abusan de la confianza del código abierto sino que también integran tecnología blockchain en sus cadenas de ataque.
¡Maximiza tu experiencia en Cointribune con nuestro programa "Read to Earn"! Por cada artículo que leas, gana puntos y accede a recompensas exclusivas. Regístrate ahora y comienza a acumular beneficios.
Peter is a skilled finance and crypto journalist who simplifies complex topics through clear writing, thorough research, and sharp industry insight, delivering reader-friendly content for today’s fast-moving digital world.
Las ideas y opiniones expresadas en este artículo pertenecen al autor y no deben tomarse como consejo de inversión. Haz tu propia investigación antes de tomar cualquier decisión de inversión.