El CTO de Ledger alerta sobre un ataque a la cadena de suministro de NPM dirigido a usuarios de criptomonedas

Un importante ataque a la cadena de suministro ha sacudido el ecosistema cripto, amenazando a usuarios a nivel global. El CTO de Ledger, Charles Guillemet, está dando la voz de alarma, instando a la precaución y al uso de wallets de hardware.

El ataque, que comenzó con una cuenta de Node Package Manager (NPM) hackeada, ya ha afectado a billones de descargas y puesto en peligro la seguridad de millones de dApps y transacciones cripto.

“La cuenta de NPM de un desarrollador de buena reputación ha sido comprometida. Los paquetes afectados ya han sido descargados más de 1 billón de veces”, advirtió Guillemet.

Explicó además que el malware funciona como un crypto clipper, secuestrando sigilosamente direcciones de wallets durante las transacciones para redirigir fondos a las wallets del atacante. Guillemet instó a los usuarios a ser especialmente cautelosos, especialmente a aquellos que no usan wallets de hardware.

“Si usas un wallet de hardware, presta atención a cada transacción antes de firmar y estarás seguro. Si no lo haces, abstente de realizar cualquier transacción on-chain por ahora”, aconsejó.

Hackeo de NPM: Cómo ocurrió la brecha 

Informes revelaron que 18 paquetes populares de NPM fueron comprometidos, incluyendo paquetes de alto perfil como ‘chalk’, ‘debug’ y ‘strip-ansi’. El ataque, que ocurrió el 8 de septiembre, es uno de los mayores en la historia reciente, impactando bibliotecas con un total de más de 2 billones de descargas semanales.

Supuestamente, el ataque comenzó con un correo de phishing que se hacía pasar por el soporte oficial de NPM. El objetivo fue Qix-, un desarrollador respetado cuya cuenta de NPM fue secuestrada, permitiendo a los atacantes inyectar actualizaciones maliciosas en populares bibliotecas de JavaScript.

Una vez instalado, el payload malicioso reemplaza silenciosamente las direcciones cripto copiadas por otras similares controladas por el hacker. Esta técnica, impulsada por la lógica de distancia de Levenshtein, engaña a los usuarios desprevenidos para que envíen fondos a direcciones equivocadas.

Una dirección principal de wallet vinculada al ataque fue destacada por los investigadores, aunque señalaron wallets adicionales que creen que están conectadas.

Aunque Charles dijo que no está claro si el atacante también está robando semillas de wallets de software en este momento, informes recientes han arrojado luz sobre el daño. El investigador Rani Haddad categorizó las wallets del atacante en Arkham como una entidad llamada NPM attack. Los datos indican que el atacante pudo robar $497.96 al momento de la publicación.

Las wallets del atacante | Fuente: Arkham

Aunque el efecto financiero directo no es tan significativo, la magnitud potencial es inmensa considerando la popularidad de los paquetes afectados.

Respuesta de la comunidad y prevención 

Varios proyectos y protocolos, como Uniswap, SUI y Jupiter, han afirmado que no están afectados pero han aconsejado precaución. Wallets de criptomonedas como Ledger y MetaMask aseguraron a los usuarios medidas de seguridad multinivel.

Mientras tanto, el hackeo a la cadena de suministro de NPM no fue el único evento de seguridad importante el 8 de septiembre. La plataforma suiza de gestión de cripto SwissBorg reportó una explotación de $41 millones a través de una API de un socio, afectando al 1% de los usuarios. Además, el proyecto Ethereum L2 Kinto anunció su cierre tras una explotación en julio que drenó 577 ETH, dejando al equipo sin posibilidad de asegurar financiación.

Esta ola de ataques es un indicador de la creciente complejidad de las amenazas cripto. De cara al futuro, los usuarios, desarrolladores y plataformas deben adoptar prácticas más seguras y auditorías rigurosas de paquetes.