El CTO de Ledger alerta a los usuarios sobre una brecha en la cadena de suministro de NPM que amenaza la seguridad de las criptomonedas

Una brecha a gran escala en la cadena de suministro ha sacudido a la comunidad de código abierto después de que hackers comprometieran la cuenta de Node Package Manager (NPM) de un desarrollador de renombre. Paquetes ampliamente utilizados se vieron afectados, lo que generó grandes preocupaciones en todo el ecosistema de JavaScript.

La brecha en NPM genera preocupaciones sobre la seguridad de los wallets

Charles Guillemet, director de tecnología en Ledger, reveló el alcance de la amenaza. Informó que una cuenta importante de NPM había sido secuestrada y que los paquetes afectados ya habían sido descargados más de 1.1 billions de veces. Dada esta magnitud, afirmó que todo el ecosistema de JavaScript podría estar expuesto. El código malicioso operaba silenciosamente, cambiando direcciones de criptomonedas en tiempo real para desviar fondos hacia los atacantes.

Guillemet instó a la precaución. Explicó que los usuarios de wallets de hardware permanecen seguros si verifican cuidadosamente cada transacción antes de aprobarla. Para quienes dependen de wallets de software, recomendó evitar transacciones on-chain hasta que la situación se aclare. También señaló que aún no está claro si los atacantes están intentando extraer directamente las semillas de recuperación de los wallets de software.

El desarrollador confirma la toma de control de la cuenta

El responsable en el centro de la brecha, Josh Junon, confirmó que su cuenta de NPM había sido comprometida. En una publicación en Bluesky, explicó que la toma de control fue resultado de una campaña de phishing. Los atacantes habían creado un dominio falso, ‘support [at] npmjs [dot]’ help, diseñado para parecerse al sitio oficial npmjs.com.

Los responsables de mantenimiento recibieron correos electrónicos amenazantes que afirmaban que sus cuentas serían bloqueadas el 10 de septiembre de 2025. Estos mensajes incluían enlaces que redirigían a sitios de phishing diseñados para robar credenciales. El correo falso afirmaba:

Para mantener la seguridad e integridad de su cuenta, le pedimos amablemente que complete esta actualización a la mayor brevedad posible. Tenga en cuenta que las cuentas con credenciales 2FA desactualizadas serán bloqueadas temporalmente a partir del 10 de septiembre de 2025, para evitar accesos no autorizados.

Poco después, otros desarrolladores informaron haber sido objetivo de la misma manera, confirmando que el esquema de phishing alcanzó más allá de un solo responsable de mantenimiento.

Respuesta a la brecha de NPM y desglose técnico

El equipo de NPM actuó rápidamente una vez detectada la brecha, procediendo a eliminar las versiones maliciosas subidas por los atacantes. Entre las eliminadas se encontraba una versión del paquete debug, que se descarga cientos de millones de veces cada semana—estimado en alrededor de 357 millones.

Un análisis adicional fue realizado por Aikido Security, y la investigación reveló lo siguiente:

• Los atacantes añadieron código malicioso en los archivos index.js de los paquetes secuestrados. Esto actuaba como un interceptor de navegador, secuestrando el tráfico y apuntando a usuarios de criptomonedas.
• El malware se incrustaba en los navegadores y se enganchaba a funciones como fetch, XMLHttpRequest y APIs de wallets como window.ethereum y Solana, dándole acceso a la actividad web y de wallets.
• Una vez activo, escaneaba datos en busca de direcciones de wallets en Ethereum, Bitcoin, Solana, Tron, Litecoin y Bitcoin Cash. Las direcciones detectadas eran reemplazadas por otras controladas por los atacantes, a menudo diseñadas para parecer similares.
• Alteraba los detalles de las transacciones antes de firmarlas, cambiando destinatarios, aprobaciones o permisos mientras la interfaz parecía normal, enviando los fondos a los atacantes.
• Para permanecer oculto, evitaba cambios visibles cuando había un wallet presente, ejecutándose silenciosamente en segundo plano y manipulando transacciones reales.

Llamado a tomar mayores precauciones

En comentarios a CoinDesk, Guillemet advirtió que las aplicaciones descentralizadas o wallets de software que incluyan los paquetes comprometidos pueden no ser seguras, dejando a los usuarios de criptomonedas en riesgo de perder fondos. Enfatizó que la protección más confiable es un wallet de hardware con pantalla segura que soporte Clear Signing.

Este enfoque permite a los usuarios verificar la dirección y los detalles de cada transacción directamente en la pantalla del dispositivo, asegurando que lo que aprueban coincide con su intención.

Agregó que la situación sirve como un recordatorio contundente de prácticas esenciales: “siempre verifique sus transacciones, nunca firme a ciegas.” También recomendó el uso de un wallet de hardware con pantalla segura para ayudar a garantizar la seguridad.