Ataque a la Cadena de suministro de NPM: Exchange Mayor Evita el Problema, Pero los Usuarios de Cripto Siguen en Riesgo

El intercambio de criptomonedas más grande del mundo por volumen aseguró a sus clientes el martes que sus datos y activos permanecían seguros durante lo que se denomina uno de los ataques a la cadena de suministro más significativos que jamás haya afectado al ecosistema de JavaScript.

Según una declaración publicada en las redes sociales, el intercambio confirmó que no hubo daño en su base de datos durante una violación dirigida a paquetes de Node.js ampliamente utilizados que están involucrados en más de 2 mil millones de descargas de aplicaciones semanales.

“Estamos al tanto del reciente ataque a la cadena de suministro que publica versiones maliciosas de varios paquetes de JavaScript ampliamente utilizados,” escribió la compañía. “Después de la investigación, hemos confirmado que no nos vimos afectados y que los datos o activos de los clientes no están en riesgo. La seguridad sigue siendo nuestra máxima prioridad, este compromiso nos recuerda cuán crítica es la seguridad de la cadena de suministro. Mantente SAFU.”

Una figura prominente en el espacio cripto comentó en la plataforma social: “Incluso el software de código abierto no es seguro en estos días. Web3 redefinirá la seguridad para Web2. Aún estamos al principio.”

El ataque de paquetes de JavaScript envía escalofríos a la comunidad cripto

El ataque, descrito por los investigadores de seguridad como uno de los más grandes en la historia de NPM, ocurrió el 8 de septiembre. Los hackers comprometieron la cuenta del mantenedor de código abierto de confianza “qix” (Josh Junon) a través de un sofisticado correo electrónico de phishing que impersonaba comunicaciones oficiales de npmjs.

Me resulta perturbador lo fácil que los atacantes manipularon a Junon con una falsa advertencia de que su cuenta se bloquearía el 10 de septiembre de 2025, a menos que actualizara de inmediato sus credenciales de autenticación de dos factores.

“Como parte de nuestro compromiso continuo con la seguridad de las cuentas, estamos solicitando a todos los usuarios que actualicen sus credenciales de Autenticación de Dos Factores (2FA). Nuestros registros indican que ha pasado más de 12 meses desde su última actualización de 2FA,” decía el correo electrónico engañoso.

Junon admitió más tarde en las redes sociales que fue víctima del esquema de phishing después de que otro mantenedor revelara que su cuenta de NPM estaba “publicando paquetes con puertas traseras”, permitiendo a los atacantes secuestrar su cuenta y enviar actualizaciones maliciosas a 18 bibliotecas populares de Node.js, incluidas chalk, debug, ansi-styles y strip-ansi.

Transacciones Criptográficas Específicamente Dirigidas

El análisis de Aikido Security reveló que los atacantes inyectaron código que permitía la interceptación basada en el navegador en los paquetes comprometidos. El código malicioso estaba oculto en archivos index.js, donde podía monitorear silenciosamente el tráfico de red y las API de la aplicación en cualquier aplicación que usara los paquetes afectados.

El script observa específicamente las direcciones de billetera y las transacciones que involucran Bitcoin, Ethereum, Solana, Tron, Litecoin y Bitcoin Cash. Cuando se detecta, reemplaza silenciosamente la dirección de billetera de destino por una controlada por los atacantes, redirigiendo los fondos sin el conocimiento de la víctima.

El CTO de un fabricante de billeteras de hardware informó que el código malicioso ya se había propagado en paquetes con más de mil millones de descargas.

La firma de análisis de blockchain Arkham Intelligence informó el lunes por la noche que solo se habían robado criptomonedas por valor de $159 , rastreadas hasta direcciones identificadas por investigadores de seguridad.

Sin embargo, me preocupa que esta cifra engañosamente baja oculte el verdadero daño potencial, considerando los miles de millones de descargas asociadas con los paquetes comprometidos. El lento robo inicial podría simplemente representar la calma antes de una tormenta mucho más grande.