El CTO de Ledger advierte a los titulares de wallets tras el hackeo de la cuenta de NPM

• Un gran ataque afectó a herramientas de JavaScript utilizadas por millones en plataformas cripto.
• El CTO de Ledger aconsejó a los usuarios revisar cada transacción y evitar la firma ciega.
• Se indicó a los desarrolladores que aseguraran los paquetes y detuvieran las actualizaciones automáticas hasta que se completen las correcciones.

Un ataque masivo a la cadena de suministro en el ecosistema de JavaScript ha sacudido a la industria cripto, exponiendo las frágiles dependencias en su infraestructura. El 8 de septiembre de 2025, el Director de Tecnología de Ledger, Charles Guillemet, confirmó que los atacantes habían vulnerado la cuenta NPM (Node Package Manager) de un desarrollador de renombre. La cuenta comprometida permitió a los hackers inyectar malware “crypto-clipper” en paquetes de JavaScript de uso masivo. 

Estas librerías infectadas, incluyendo chalk, debug, strip-ansi y color-convert, suman colectivamente más de mil millones de descargas, lo que demuestra la enorme magnitud de la exposición. Según Guillemet, el código malicioso intercambia silenciosamente las direcciones de las wallets cripto durante las transacciones, enviando los fondos a cuentas controladas por los atacantes. Esto significa que los usuarios desprevenidos pueden completar transacciones creyendo que son legítimas, mientras pierden sus activos sin saberlo.

Las herramientas afectadas distan mucho de ser desconocidas. Librerías como Chalk y Debug soportan numerosas aplicaciones descentralizadas y plataformas cripto, y por lo tanto, están íntimamente involucradas en el funcionamiento diario del ecosistema. Una vulneración de estas librerías indica que una sola brecha puede afectar rápidamente a millones de wallets y aplicaciones.

Advertencias urgentes del CTO de Ledger

Guillemet no nombró al desarrollador cuya cuenta fue comprometida. Sin embargo, dejó claro que la amenaza es extensa. “Este es un ataque a la cadena de suministro a gran escala. Todo el ecosistema de JavaScript podría estar afectado”, escribió en su advertencia oficial.

Subrayó la importancia de usar hardware wallets con pantallas seguras que soporten Clear Signing. “La única manera segura de combatir esto es usar una hardware wallet con pantalla segura que soporte clear signing”, dijo. “Esto permitirá al usuario ver exactamente a qué direcciones se envían los fondos y asegurarse de que coinciden con las direcciones previstas.”

Continuó: “Las hardware wallets sin pantallas seguras y cualquier wallet que no soporte clear signing están en alto riesgo, ya que es imposible verificar con precisión que los detalles de la transacción sean correctos.”

Finalmente, emitió un recordatorio general: “Es una oportunidad para recordar a todos: siempre verifica tus transacciones, nunca firmes a ciegas, usa una hardware wallet con pantalla segura y utiliza Clear Sign en todo.”

Respuesta de los desarrolladores e implicaciones más amplias

Tras la divulgación, se ha instado a los desarrolladores a fijar versiones seguras de las dependencias, asegurar los lockfiles y detener la actualización automática de paquetes hasta nuevo aviso. Estas precauciones pretenden contener el daño mientras se realizan auditorías y limpiezas en todo el ecosistema. Figuras prominentes de la comunidad de desarrolladores cripto también aconsejaron a los usuarios evitar interactuar con sitios web cripto hasta que se resuelvan las vulnerabilidades.

Relacionado: Desarrolladores de Ripple defienden XRP Ledger tras evaluación de Kaiko

Este evento demostró que incluso proveedores de wallets críticos como Ledger dependen de capas de software fuera de su control inmediato. Si tales capas son comprometidas, el impacto resultante puede ser devastador. Millones de usuarios y valores digitales que suman miles de millones pueden estar en riesgo en cuestión de horas.

Actualización sobre el ataque NPM

Según la última actualización de Guillemet, el ataque fracasó y casi no tuvo víctimas. Comenzó con un correo de phishing desde un dominio falso de soporte de npm que robó credenciales, dando a los atacantes acceso para publicar actualizaciones maliciosas de paquetes. El código inyectado apuntaba a la actividad cripto en la web, interceptando Ethereum, Solana y otras cadenas para secuestrar transacciones reemplazando las direcciones de las wallets directamente en las respuestas de red. Sin embargo, los errores de los atacantes provocaron fallos en los pipelines CI/CD, lo que llevó a una detección temprana y limitó el impacto.

Guillemet enfatizó que si tus fondos están en una software wallet o en un exchange, estás a una ejecución de código de perderlo todo. Las vulneraciones en la cadena de suministro siguen siendo un vector poderoso para la entrega de malware, y los ataques dirigidos van en aumento. También destacó que las hardware wallets están diseñadas para resistir estas amenazas. Funciones como Clear Signing te permiten confirmar exactamente lo que está sucediendo, y Transaction Checks detecta actividades sospechosas antes de que sea demasiado tarde.

El artículo Ledger CTO Warns Wallet Holders After NPM Account Hack apareció primero en Cryptotale.