El CTO de Ledger alerta sobre un ataque a la cadena de suministro de NPM dirigido a usuarios de criptomonedas

Un importante ataque a la cadena de suministro ha sacudido el ecosistema cripto, amenazando a usuarios a nivel global. El CTO de Ledger, Charles Guillemet, está dando la voz de alarma, instando a la precaución y al uso de wallets hardware.

El ataque, que comenzó con una cuenta hackeada de Node Package Manager (NPM), ya ha afectado a miles de millones de descargas y ha puesto en peligro la seguridad de millones de dApps y transacciones cripto.

“La cuenta de NPM de un desarrollador de buena reputación ha sido comprometida. Los paquetes afectados ya han sido descargados más de 1 billón de veces”, advirtió Guillemet.

Además, explicó que el malware funciona como un crypto clipper, secuestrando sigilosamente las direcciones de wallets durante las transacciones para redirigir los fondos a las wallets del atacante. Guillemet instó a los usuarios a ser especialmente cautelosos, sobre todo a quienes no usan wallets hardware.

“Si usás un wallet hardware, prestá atención a cada transacción antes de firmar y estás seguro. Si no, evitá realizar cualquier transacción on-chain por ahora”, aconsejó.

Hackeo de NPM: Cómo ocurrió la brecha 

Informes revelaron que 18 paquetes populares de NPM fueron comprometidos, incluyendo paquetes de alto perfil como ‘chalk’, ‘debug’ y ‘strip-ansi’. El ataque, que ocurrió el 8 de septiembre, es uno de los más grandes en la historia reciente, afectando a bibliotecas con un total de más de 2 billones de descargas semanales.

Supuestamente, el ataque comenzó con un correo de phishing que se hacía pasar por el soporte oficial de NPM. El objetivo fue Qix-, un desarrollador respetado cuya cuenta de NPM fue hackeada, permitiendo a los atacantes inyectar actualizaciones maliciosas en bibliotecas populares de JavaScript.

Una vez instalado, el payload malicioso reemplaza silenciosamente las direcciones cripto copiadas por otras similares controladas por el hacker. Esta técnica, impulsada por la lógica de distancia de Levenshtein, engaña a los usuarios desprevenidos para que envíen fondos a direcciones equivocadas.

Una dirección principal de wallet vinculada al ataque fue destacada por investigadores, aunque señalaron wallets adicionales que creen están conectadas.

Aunque Charles dijo que aún no está claro si el atacante también está robando las seeds de wallets de software directamente, informes recientes han arrojado luz sobre el daño. El investigador Rani Haddad categorizó las wallets del atacante en Arkham como una entidad llamada NPM attack. Los datos indican que el atacante pudo robar $497,96 al momento de la publicación.

Las wallets del atacante | Fuente: Arkham

Aunque el efecto financiero directo no es tan significativo, la magnitud potencial es inmensa considerando la popularidad de los paquetes afectados.

Respuesta de la comunidad y prevención 

Varios proyectos y protocolos, como Uniswap, SUI y Jupiter, han afirmado que no se vieron afectados pero han recomendado precaución. Wallets de criptomonedas como Ledger y MetaMask aseguraron a los usuarios la existencia de medidas de seguridad en múltiples capas.

Mientras tanto, el hackeo a la cadena de suministro de NPM no fue el único evento de seguridad importante el 8 de septiembre. La plataforma suiza de gestión de cripto SwissBorg reportó una explotación de $41 millones a través de una API de un socio, afectando al 1% de los usuarios. Además, el proyecto Ethereum L2 Kinto anunció su cierre tras una explotación en julio que drenó 577 ETH, dejando al equipo sin posibilidad de asegurar fondos.

Esta ola de ataques es un indicador de la creciente complejidad de las amenazas cripto. De cara al futuro, usuarios, desarrolladores y plataformas deben adoptar prácticas más seguras y auditorías rigurosas de paquetes.