Ola de ataques a la cadena de suministro de npm: ¿Qué sucedió? ¿Cómo mitigar el riesgo?

Original Article Title: "Supply Chain Attack Goes Viral Overnight: What Happened? How to Mitigate Risk?"

Original Article Author: Azuma, Odaily Planet Daily

El 9 de septiembre, zona horaria del este de Asia, el Director de Tecnología de Ledger, Charles Guillemet, publicó una advertencia en X, declarando: "Actualmente se está llevando a cabo un ataque a la cadena de suministro a gran escala, con la cuenta NPM de un desarrollador muy conocido comprometida. El paquete de software afectado ha sido descargado más de 1 billón de veces, lo que indica que todo el ecosistema JavaScript podría estar en riesgo."

Guillemet explicó además: "El código malicioso funciona modificando silenciosamente las direcciones de criptomonedas en segundo plano para robar fondos. Si usas una hardware wallet, verifica cuidadosamente cada transacción de firma y estarás seguro. Si no usas una hardware wallet, por favor evita temporalmente cualquier transacción on-chain. Actualmente no está claro si el atacante ya ha robado la frase mnemotécnica de las software wallets."

¿Qué sucedió?

Según el informe de seguridad citado por Guillemet, la causa directa de este incidente fue: la cuenta NPM del conocido desarrollador @qix fue comprometida, lo que llevó a la publicación de versiones maliciosas de docenas de paquetes de software, incluyendo chalk, strip-ansi y color-convert. El código malicioso pudo haberse propagado a los usuarios finales cuando los desarrolladores o usuarios instalaron automáticamente dependencias.

Odaily Note: Datos de volumen de descargas semanales de los paquetes de software comprometidos.

En resumen, este es un caso clásico de ataque a la cadena de suministro—donde un atacante implanta código malicioso (como un paquete NPM) en una herramienta de desarrollo o sistema de dependencias para llevar a cabo actividades maliciosas. NPM, abreviatura de Node Package Manager, es la herramienta de gestión de paquetes más utilizada en el ecosistema JavaScript/Node.js. Sus funciones principales incluyen la gestión de dependencias, instalación y actualización de paquetes, compartición de código, entre otras.

Debido a la inmensa escala del ecosistema NPM, que actualmente consta de millones de paquetes de software, casi todos los proyectos Web3, wallets de criptomonedas y herramientas frontend dependen de NPM—precisamente por esto, las extensas dependencias y la compleja cadena de enlaces de NPM lo convierten en un punto de entrada de alto riesgo para ataques a la cadena de suministro. Al implantar código malicioso en un paquete de software comúnmente utilizado, los atacantes pueden potencialmente afectar a miles de aplicaciones y usuarios.

Como se muestra en el diagrama de flujo de propagación del código malicioso anterior:

· Un determinado proyecto (caja azul) depende directamente de algunas bibliotecas open-source comunes, como express.

· Estas dependencias directas (cajas verdes) luego dependen de otras dependencias indirectas (cajas amarillas, como lodash).

· Si una dependencia indirecta es inyectada secretamente con código malicioso por un atacante (caja roja), se propagará a lo largo de la cadena de dependencias hacia ese proyecto.

¿Qué significa esto para las criptomonedas?

La relevancia directa de este incidente de seguridad para la industria de las criptomonedas es que el código malicioso implantado por el hacker en el paquete de software comprometido mencionado anteriormente es un sofisticado "secuestrador de portapapeles de criptomonedas" que roba activos de criptomonedas reemplazando direcciones de wallets y secuestrando transacciones.

El fundador de Stress Capital, GE (@GuarEmperor), explicó esto en X, afirmando que la inyección del "secuestrador de portapapeles" del hacker adopta dos modos de ataque—utilizando pasivamente el algoritmo de distancia de Levenshtein para reemplazar direcciones de wallets, que son visualmente similares y por lo tanto extremadamente difíciles de detectar; y manipulando activamente la dirección objetivo en la wallet de criptomonedas detectada por el navegador antes de que el usuario firme la transacción.

Dado que este ataque tuvo como objetivo las bibliotecas de capa fundamental de los proyectos JavaScript, incluso los proyectos que dependen indirectamente de estas bibliotecas pueden verse afectados.

¿Cómo se beneficia el hacker?

El código malicioso implantado por el hacker también reveló sus direcciones de ataque. La principal dirección de ataque del hacker en Ethereum es 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, con fondos provenientes principalmente de las siguientes tres direcciones:

· 0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240

· x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B

· 0x30F895a2C66030795131FB66CBaD6a1f91461731

El equipo de Arkham ha creado una página de seguimiento para este evento de ataque, donde se puede consultar información en tiempo real sobre las ganancias y transferencias del hacker.

Al momento de escribir este artículo, el ataque del hacker solo ha producido $496, pero considerando la propagación aún indeterminada del código malicioso, se espera que esta cifra continúe aumentando—el desarrollador ha sido notificado y está colaborando activamente con el equipo de seguridad de NPM para abordar el problema. El código malicioso ha sido eliminado de la mayoría de los paquetes afectados, por lo que la situación está bajo control.

¿Cómo mitigar el riesgo?

El fundador de Defillama @0xngmi declaró que, según X, aunque este evento puede sonar peligroso, el impacto real no es tan generalizado—ya que este evento solo afecta a los sitios web que han lanzado actualizaciones desde que se publicó el paquete de software NPM comprometido, otros proyectos seguirán utilizando la versión antigua; y la mayoría de los proyectos bloquearán sus dependencias, por lo que incluso si lanzan actualizaciones, seguirán utilizando el código antiguo y seguro.

Sin embargo, dado que los usuarios finales no pueden saber realmente si un proyecto ha bloqueado las dependencias o si tienen algunas dependencias descargadas dinámicamente, actualmente es esencial que el proyecto salga a realizar una autoinspección y divulgación.

Al momento de escribir este artículo, varios proyectos de wallets o aplicaciones, incluyendo MetaMask, Phantom, Aave, Fluid, Jupiter, han revelado que no se ven afectados por este evento. Por lo tanto, teóricamente, los usuarios pueden usar con confianza wallets que han sido confirmadas como seguras para acceder de manera segura a protocolos que también han sido confirmados como seguros. Sin embargo, para wallets o proyectos que aún no han realizado una divulgación de seguridad, evitar su uso temporalmente puede ser un enfoque más seguro.