Un hackeo masivo de software pone en riesgo todas las transacciones de criptomonedas

Un importante ciberataque ha sacudido el ecosistema global de software y ha puesto en riesgo a millones de usuarios de criptomonedas. Hackers secuestraron la cuenta de un desarrollador popular en npm, la plataforma que impulsa gran parte de la web, e introdujeron actualizaciones maliciosas en bibliotecas de código ampliamente utilizadas.

Estas bibliotecas están profundamente integradas en innumerables aplicaciones y sitios web. En conjunto, se descargan más de mil millones de veces cada semana. Esa magnitud convierte a este incidente en uno de los mayores compromisos de la cadena de suministro de software jamás vistos.

Un nuevo malware que apunta a transacciones cripto

El código malicioso apunta a las transacciones de criptomonedas. Funciona de dos maneras.

Primero, si no se detecta una wallet, el malware busca direcciones cripto dentro de un sitio web y las reemplaza por direcciones controladas por los atacantes. 

Utiliza trucos ingeniosos para intercambiarlas por direcciones visualmente casi idénticas. Esto hace que sea fácil que los usuarios no noten el cambio.

NO USES TU CRYPTO WALLET a menos que estés seguro de que no está afectada por el hackeo de Javascript en NPM. Por el código que revisé, parece que apunta a wallets basadas en navegador como metamask, interceptando métodos del navegador como fetch y XMLHttpRequest. El código elige…

— Scott Emick 🇺🇸 (@semick) 8 de septiembre de 2025

Segundo, si hay una wallet como MetaMask presente, el código modifica activamente las transacciones. 

Cuando un usuario se prepara para enviar fondos, el malware intercepta los datos y reemplaza el destinatario por la dirección del atacante. Si el usuario firma sin revisar cuidadosamente, su dinero desaparece.

Todos los usuarios cripto podrían estar en riesgo

El ataque comenzó cuando la cuenta de npm del desarrollador conocido como Qix fue comprometida. Los hackers publicaron nuevas versiones de docenas de sus paquetes, incluyendo las utilidades principales mencionadas anteriormente.

Los desarrolladores que actualizaron sus proyectos incorporaron automáticamente estas versiones infectadas. Cualquier sitio web o aplicación descentralizada que las haya implementado podría exponer a sus usuarios sin saberlo.

La brecha solo se descubrió después de que un error de compilación llamó la atención sobre un código extraño e ilegible dentro de uno de los paquetes actualizados. 

Expertos en seguridad descubrieron luego que se trataba de un sofisticado “crypto-clipper” diseñado para redirigir fondos silenciosamente.

La amenaza es especialmente grave para quienes realizan transacciones a través de un navegador web. Si copiaste una dirección desde un sitio, o si firmaste una transferencia sin revisar, podrías estar en riesgo.

El Chief Technology Officer de Ledger emitió una advertencia contundente en redes sociales.

🚨 Hay un ataque a la cadena de suministro a gran escala en curso: la cuenta de NPM de un desarrollador de renombre ha sido comprometida. Los paquetes afectados ya se han descargado más de 1.000 millones de veces, lo que significa que todo el ecosistema de JavaScript podría estar en riesgo. El payload malicioso funciona…

— Charles Guillemet (@P3b7_) 8 de septiembre de 2025

Qué deberías hacer ahora

Los expertos recomiendan varios pasos urgentes para todos los poseedores de criptomonedas:

• Verificá las direcciones: Siempre leé la dirección completa en la pantalla de confirmación de tu wallet o dispositivo de hardware antes de firmar.
• Pausá la actividad si tenés dudas: Si usás una wallet basada en navegador o software, considerá posponer las transacciones hasta que haya más información.
• Revisá la actividad reciente: Controlá transferencias y aprobaciones pasadas. Si ves algo sospechoso, revocá las aprobaciones y mové los fondos a una nueva wallet.
• Usá transacciones de prueba: Cuando envíes a una nueva dirección, transferí primero una pequeña cantidad para confirmar que llega correctamente.
• Confiá en wallets de hardware: Los dispositivos que muestran los detalles de la transacción en una pantalla separada siguen siendo la opción más segura.

El ataque demuestra cuán frágil puede ser la confianza en el ecosistema de software open-source. Una sola cuenta de desarrollador comprometida permitió a los hackers introducir código peligroso en miles de millones de descargas.

Este incidente aún está en desarrollo. Las versiones maliciosas están siendo eliminadas, pero algunas pueden permanecer en línea durante días o semanas. La mejor estrategia es estar alerta.

Si usás cripto, revisá cada transacción con atención. Una mirada extra a la dirección en tu wallet puede ser la diferencia entre seguridad y robo.