Los Hackers utilizaron sitios web falsos para robar una cuenta de npm de confianza y difundir código dañino a través de paquetes populares.
Las carteras de criptomonedas como MetaMask y Trust Wallet pueden estar en riesgo si usaron las bibliotecas de JavaScript infectadas.
Los usuarios deben dejar de firmar transacciones y verificar todos los paquetes si sus aplicaciones se actualizaron recientemente a través de npm.
Un importante ataque a la cadena de suministro ha comprometido una cuenta de npm JavaScript ampliamente confiable. Los investigadores confirmaron que el código malicioso ya ha infectado 18 paquetes populares. Estos paquetes se han descargado más de 2 mil millones de veces solo en la última semana. Los paquetes afectados contienen código capaz de cambiar silenciosamente las direcciones de las carteras de criptomonedas.
Este ataque está diseñado para desviar transacciones sin el conocimiento del usuario. Incluso si los usuarios firman la transacción que parece correcta, los fondos pueden seguir yendo al atacante. El ecosistema de JavaScript está en riesgo debido a cuán profundamente están integrados estos paquetes. Se insta a los desarrolladores a auditar y eliminar las dependencias afectadas de inmediato.
Carteras de criptomonedas y ecosistemas en riesgo
El ataque afecta a muchas billeteras bien conocidas basadas en navegador y de escritorio. Tales como: MetaMask, Trust Wallet y Exodus. Las billeteras de hardware siguen siendo más seguras, sin embargo, los usuarios deben seguir verificando los detalles de la transacción de cerca. El atacante utiliza direcciones de billetera similares para engañar a los usuarios durante el proceso de firma.
Solo un chequeo detallado carácter por carácter puede detectar la diferencia. La mayoría de los usuarios solo verifican los primeros y últimos caracteres de las direcciones de wallet. Eso los deja vulnerables a las tácticas de intercambio de direcciones. Los scripts automatizados y los contratos inteligentes también están en riesgo si dependen de las bibliotecas comprometidas.
El punto de entrada fue una cuenta de desarrollador comprometida
La violación comenzó cuando los atacantes tomaron el control de la cuenta de un mantenedor de npm de confianza. Los investigadores creen que esto se hizo utilizando phishing y falsos mensajes de autenticación de dos factores.
Recientemente, los investigadores de ciberseguridad notaron que los hackers escondieron malware en contratos inteligentes de Ethereum a través de paquetes de NPM, utilizando URLs de blockchain para eludir escaneos y entregar cargas útiles de segunda etapa. Los atacantes construyeron repositorios falsos en GitHub con commits fabricados y múltiples cuentas para aumentar la credibilidad. Los usuarios de GitHub informaron correos electrónicos sospechosos que pretendían ser de soporte de npm.
El atacante utilizó un dominio que imitaba el verdadero sitio web de npm. Estos correos electrónicos amenazaban con bloquear cuentas para obligar a los desarrolladores a hacer clic en enlaces de phishing. Una vez comprometida, la cuenta se utilizó para actualizar múltiples paquetes con cargas útiles maliciosas. Algunos paquetes fueron parcheados más tarde, pero otros siguen siendo inseguros.
Advertencias de seguridad y respuesta del desarrollador
Los equipos de seguridad y los investigadores están advirtiendo a los usuarios que eviten la actividad en cadena por ahora. Los usuarios de criptomonedas deben deshabilitar las carteras del navegador y dejar de firmar transacciones temporalmente. No se han reportado pérdidas importantes hasta ahora, pero los riesgos siguen siendo altos.
Algunas plataformas DeFi, incluyendo Axiom y Kamino, confirmaron que no utilizaron los paquetes infectados. Sin embargo, los desarrolladores deben verificar todas las dependencias, especialmente las vinculadas a bibliotecas populares como Chalk. Este tipo de vulnerabilidad también se observó en 2024 cuando los hackers explotaron Lottie Player Java Script, comprometiendo carteras en sitios DeFi de confianza como 1inch.
El equipo de npm desactivó versiones comprometidas conocidas, pero las actualizaciones recientes aún pueden conllevar riesgos. La magnitud completa del ataque sigue siendo desconocida. La amenaza podría expandirse si se dirigen más cuentas de desarrolladores utilizando tácticas similares de phishing.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Cuenta de NPM de confianza secuestrada para difundir código malicioso que pone en riesgo las transacciones y billeteras de Cripto A...
Los Hackers utilizaron sitios web falsos para robar una cuenta de npm de confianza y difundir código dañino a través de paquetes populares.
Las carteras de criptomonedas como MetaMask y Trust Wallet pueden estar en riesgo si usaron las bibliotecas de JavaScript infectadas.
Los usuarios deben dejar de firmar transacciones y verificar todos los paquetes si sus aplicaciones se actualizaron recientemente a través de npm.
Un importante ataque a la cadena de suministro ha comprometido una cuenta de npm JavaScript ampliamente confiable. Los investigadores confirmaron que el código malicioso ya ha infectado 18 paquetes populares. Estos paquetes se han descargado más de 2 mil millones de veces solo en la última semana. Los paquetes afectados contienen código capaz de cambiar silenciosamente las direcciones de las carteras de criptomonedas.
Este ataque está diseñado para desviar transacciones sin el conocimiento del usuario. Incluso si los usuarios firman la transacción que parece correcta, los fondos pueden seguir yendo al atacante. El ecosistema de JavaScript está en riesgo debido a cuán profundamente están integrados estos paquetes. Se insta a los desarrolladores a auditar y eliminar las dependencias afectadas de inmediato.
Carteras de criptomonedas y ecosistemas en riesgo
El ataque afecta a muchas billeteras bien conocidas basadas en navegador y de escritorio. Tales como: MetaMask, Trust Wallet y Exodus. Las billeteras de hardware siguen siendo más seguras, sin embargo, los usuarios deben seguir verificando los detalles de la transacción de cerca. El atacante utiliza direcciones de billetera similares para engañar a los usuarios durante el proceso de firma.
Solo un chequeo detallado carácter por carácter puede detectar la diferencia. La mayoría de los usuarios solo verifican los primeros y últimos caracteres de las direcciones de wallet. Eso los deja vulnerables a las tácticas de intercambio de direcciones. Los scripts automatizados y los contratos inteligentes también están en riesgo si dependen de las bibliotecas comprometidas.
El punto de entrada fue una cuenta de desarrollador comprometida
La violación comenzó cuando los atacantes tomaron el control de la cuenta de un mantenedor de npm de confianza. Los investigadores creen que esto se hizo utilizando phishing y falsos mensajes de autenticación de dos factores.
Recientemente, los investigadores de ciberseguridad notaron que los hackers escondieron malware en contratos inteligentes de Ethereum a través de paquetes de NPM, utilizando URLs de blockchain para eludir escaneos y entregar cargas útiles de segunda etapa. Los atacantes construyeron repositorios falsos en GitHub con commits fabricados y múltiples cuentas para aumentar la credibilidad. Los usuarios de GitHub informaron correos electrónicos sospechosos que pretendían ser de soporte de npm.
El atacante utilizó un dominio que imitaba el verdadero sitio web de npm. Estos correos electrónicos amenazaban con bloquear cuentas para obligar a los desarrolladores a hacer clic en enlaces de phishing. Una vez comprometida, la cuenta se utilizó para actualizar múltiples paquetes con cargas útiles maliciosas. Algunos paquetes fueron parcheados más tarde, pero otros siguen siendo inseguros.
Advertencias de seguridad y respuesta del desarrollador
Los equipos de seguridad y los investigadores están advirtiendo a los usuarios que eviten la actividad en cadena por ahora. Los usuarios de criptomonedas deben deshabilitar las carteras del navegador y dejar de firmar transacciones temporalmente. No se han reportado pérdidas importantes hasta ahora, pero los riesgos siguen siendo altos.
Algunas plataformas DeFi, incluyendo Axiom y Kamino, confirmaron que no utilizaron los paquetes infectados. Sin embargo, los desarrolladores deben verificar todas las dependencias, especialmente las vinculadas a bibliotecas populares como Chalk. Este tipo de vulnerabilidad también se observó en 2024 cuando los hackers explotaron Lottie Player Java Script, comprometiendo carteras en sitios DeFi de confianza como 1inch.
El equipo de npm desactivó versiones comprometidas conocidas, pero las actualizaciones recientes aún pueden conllevar riesgos. La magnitud completa del ataque sigue siendo desconocida. La amenaza podría expandirse si se dirigen más cuentas de desarrolladores utilizando tácticas similares de phishing.