Un hackeo masivo de software pone en riesgo todas las transacciones de criptomonedas

Un ciberataque importante ha sacudido el ecosistema global de software y ha puesto en riesgo a millones de usuarios de criptomonedas. Los hackers secuestraron la cuenta de un desarrollador popular en npm, la plataforma que impulsa gran parte de la web, e introdujeron actualizaciones maliciosas en bibliotecas de código ampliamente utilizadas.

Estas bibliotecas están profundamente integradas en innumerables aplicaciones y sitios web. En conjunto, se descargan más de mil millones de veces cada semana. Esa escala convierte este incidente en uno de los mayores compromisos de la cadena de suministro de software jamás vistos.

Un nuevo malware dirigido a transacciones de criptomonedas

El código malicioso apunta a las transacciones de criptomonedas. Funciona de dos maneras.

Primero, si no se detecta ninguna wallet, el malware busca direcciones de criptomonedas dentro de un sitio web y las reemplaza por direcciones controladas por el atacante. 

Utiliza trucos ingeniosos para intercambiarlas por direcciones visualmente casi idénticas. Esto facilita que los usuarios no noten el cambio.

NO USE SU CRYPTO WALLET a menos que esté completamente seguro de que no está afectada por el hackeo de Javascript en NPM. Por el código que revisé, parece que apunta a wallets basadas en navegador como metamask interceptando métodos del navegador como fetch y XMLHttpRequest. El código elige…

— Scott Emick 🇺🇸 (@semick) September 8, 2025

En segundo lugar, si hay una wallet como MetaMask presente, el código cambia activamente las transacciones. 

Cuando un usuario se prepara para enviar fondos, el malware intercepta los datos y reemplaza el destinatario por la dirección del atacante. Si el usuario firma sin revisar cuidadosamente, su dinero desaparece.

Cada usuario de criptomonedas podría estar en riesgo

El ataque comenzó cuando la cuenta de npm del desarrollador conocido como Qix fue comprometida. Los hackers publicaron nuevas versiones de docenas de sus paquetes, incluyendo las utilidades principales mencionadas anteriormente.

Los desarrolladores que actualizaron sus proyectos incorporaron automáticamente estas versiones infectadas. Cualquier sitio web o aplicación descentralizada que las desplegara podría exponer a sus usuarios sin saberlo.

La brecha solo se descubrió después de que un error de compilación llamó la atención sobre un código extraño e ilegible dentro de uno de los paquetes actualizados. 

Posteriormente, expertos en seguridad descubrieron que se trataba de un sofisticado “crypto-clipper” diseñado para redirigir fondos silenciosamente.

La amenaza es especialmente grave para quienes realizan transacciones a través de un navegador web. Si copió una dirección desde un sitio, o si firmó una transferencia sin verificar, podría estar en riesgo.

El Director de Tecnología de Ledger emitió una severa advertencia en redes sociales.

🚨 Hay un ataque a la cadena de suministro a gran escala en curso: la cuenta de NPM de un desarrollador de buena reputación ha sido comprometida. Los paquetes afectados ya se han descargado más de 1 billón de veces, lo que significa que todo el ecosistema de JavaScript podría estar en riesgo. La carga maliciosa funciona…

— Charles Guillemet (@P3b7_) September 8, 2025

Qué debe hacer ahora

Los expertos recomiendan varios pasos urgentes para todos los poseedores de criptomonedas:

• Verifique las direcciones: Lea siempre la dirección completa en la pantalla de confirmación de su wallet o dispositivo hardware antes de firmar.
• Pare la actividad si no está seguro: Si utiliza una wallet basada en navegador o software, considere pausar las transacciones hasta que se sepa más.
• Revise la actividad reciente: Revise transferencias y aprobaciones pasadas. Si ve algo sospechoso, revoque las aprobaciones y mueva los fondos a una nueva wallet.
• Utilice transacciones de prueba: Al enviar a una nueva dirección, transfiera primero una pequeña cantidad para confirmar que llega de forma segura.
• Confíe en wallets hardware: Los dispositivos que muestran los detalles de la transacción en una pantalla separada siguen siendo la opción más segura.

El ataque demuestra lo frágil que puede ser la confianza en el ecosistema de software de código abierto. Una sola cuenta de desarrollador comprometida permitió a los hackers introducir código peligroso en miles de millones de descargas.

Este incidente aún está en desarrollo. Las versiones maliciosas están siendo eliminadas, pero algunas pueden permanecer en línea durante días o semanas. El enfoque más seguro es la vigilancia.

Si utiliza criptomonedas, revise cada transacción con cuidado. Una revisión adicional de la dirección en su wallet podría ser la diferencia entre seguridad y robo.