El CTO de Ledger alerta a los usuarios sobre una brecha en la cadena de suministro de NPM que amenaza la seguridad cripto

Una brecha a gran escala en la cadena de suministro ha sacudido a la comunidad de código abierto después de que hackers comprometieran la cuenta de Node Package Manager (NPM) de un desarrollador de renombre. Paquetes ampliamente utilizados se vieron afectados, generando grandes preocupaciones en todo el ecosistema de JavaScript.

La brecha en NPM genera preocupaciones sobre la seguridad de las billeteras

Charles Guillemet, director de tecnología de Ledger, reveló el alcance de la amenaza. Informó que una cuenta importante de NPM había sido secuestrada y que los paquetes afectados ya habían sido descargados más de 1.1 billions de veces. Dada esta magnitud, afirmó que todo el ecosistema de JavaScript podría estar expuesto. El código malicioso funcionaba silenciosamente, cambiando direcciones de criptomonedas en tiempo real para desviar fondos hacia los atacantes.

Guillemet instó a la precaución. Explicó que los usuarios de billeteras hardware permanecen seguros si verifican cuidadosamente cada transacción antes de aprobarla. Para quienes dependen de billeteras de software, recomendó evitar transacciones on-chain hasta que la situación sea más clara. También señaló que aún no está claro si los atacantes están intentando extraer directamente las semillas de recuperación de las billeteras de software.

El desarrollador confirma la toma de control de la cuenta

El responsable en el centro de la brecha, Josh Junon, confirmó que su cuenta de NPM había sido comprometida. En una publicación en Bluesky, explicó que la toma de control fue resultado de una campaña de phishing. Los atacantes habían creado un dominio falso, ‘support [at] npmjs [dot]’ help, diseñado para parecerse al sitio oficial npmjs.com.

Los responsables de mantenimiento recibieron correos electrónicos amenazantes que afirmaban que sus cuentas serían bloqueadas el 10 de septiembre de 2025. Estos mensajes incluían enlaces que redirigían a sitios de phishing diseñados para robar credenciales. El correo falso afirmaba:

Para mantener la seguridad e integridad de su cuenta, le pedimos amablemente que complete esta actualización a la brevedad posible. Tenga en cuenta que las cuentas con credenciales 2FA desactualizadas serán bloqueadas temporalmente a partir del 10 de septiembre de 2025, para evitar accesos no autorizados.

Poco después, otros desarrolladores informaron haber sido atacados de la misma manera, confirmando que el esquema de phishing alcanzó más allá de un solo responsable de mantenimiento.

Respuesta a la brecha de NPM y desglose técnico

El equipo de NPM actuó rápidamente una vez detectada la brecha, procediendo a eliminar las versiones maliciosas subidas por los atacantes. Entre las eliminadas se encontraba una versión del paquete debug, que se descarga cientos de millones de veces cada semana—se estima en alrededor de 357 millones.

Un análisis adicional fue realizado por Aikido Security, y la investigación reveló lo siguiente:

• Los atacantes agregaron código malicioso en los archivos index.js de los paquetes secuestrados. Esto actuaba como un interceptor de navegador, secuestrando el tráfico y apuntando a usuarios cripto.
• El malware se integraba en los navegadores y se conectaba a funciones como fetch, XMLHttpRequest y APIs de billeteras como window.ethereum y Solana, dándole acceso a la actividad web y de billeteras.
• Una vez activo, escaneaba datos en busca de direcciones de billeteras en Ethereum, Bitcoin, Solana, Tron, Litecoin y Bitcoin Cash. Las direcciones detectadas eran reemplazadas por otras controladas por los atacantes, a menudo diseñadas para parecer similares.
• Alteraba los detalles de las transacciones antes de firmarlas, cambiando destinatarios, aprobaciones o permisos mientras la interfaz parecía normal, enviando fondos a los atacantes.
• Para permanecer oculto, evitaba cambios visibles cuando una billetera estaba presente, ejecutándose silenciosamente en segundo plano y manipulando transacciones reales.

Llamado a tomar mayores precauciones

En declaraciones a CoinDesk, Guillemet advirtió que las aplicaciones descentralizadas o billeteras de software que incluyan los paquetes comprometidos podrían no ser seguras, dejando a los usuarios cripto en riesgo de perder fondos. Enfatizó que la protección más confiable es una billetera hardware con pantalla segura que soporte Clear Signing.

Este enfoque permite a los usuarios verificar la dirección y los detalles de cada transacción directamente en la pantalla del dispositivo, asegurando que lo que aprueban coincide con su intención.

Agregó que la situación sirve como un recordatorio contundente de prácticas esenciales: “siempre verifique sus transacciones, nunca firme a ciegas.” También recomendó el uso de una billetera hardware con pantalla segura para ayudar a garantizar la seguridad.