Notas clave
- Código malicioso inyectado en los paquetes de @ensdomains entre el 21 y el 23 de noviembre apuntó a credenciales de desarrolladores en GitHub, npm y servicios en la nube.
- El ataque se propagó a través de cuentas de mantenedores comprometidas, ejecutándose automáticamente durante los comandos de instalación estándar.
- Los paquetes afectados incluyen gate-evm-check-code2, create-hardhat3-app, ethereum-ens y más de 40 librerías bajo el alcance de @ensdomains.
Los paquetes de software de Ethereum Name Service ENS $11.61 volatilidad 24h: 4.0% Capitalización de mercado: $439.48 M Vol. 24h: $72.23 M fueron comprometidos en un ciberataque a la cadena de suministro que afectó a más de 400 librerías de código en npm, una plataforma donde los desarrolladores comparten y descargan herramientas de software. ENS Labs indicó que los activos de los usuarios y los nombres de dominio parecen no haberse visto afectados.
El equipo detectó que los paquetes que comienzan con @ensdomains fueron afectados alrededor de las 5:49 a.m. UTC del 24 de noviembre y desde entonces ha actualizado las versiones de los paquetes y cambiado las credenciales de seguridad, según ENS Labs. Los sitios web operados por ENS, incluyendo app.ens.domains, no mostraron señales de impacto.
Hemos identificado que ciertos paquetes npm que comienzan con @ensdomains publicados alrededor de las 5:49am UTC hoy pueden estar afectados por un ataque a la cadena de suministro Sha1-Hulud que ha comprometido más de 400 librerías NPM, incluyendo varios paquetes de ENS.
El equipo ha actualizado todas las etiquetas más recientes y está…
— ens.eth (@ensdomains) 24 de noviembre de 2025
El ataque también comprometió paquetes de Zapier, PostHog, Postman y AsyncAPI, según Aikido Security, que detectó la campaña por primera vez el 24 de noviembre.
Paquetes cripto entre las víctimas
Varias librerías de desarrollo blockchain fueron alcanzadas por el ataque masivo. Los paquetes afectados incluyen gate-evm-check-code2 y evm-checkcode-cli, utilizados para la verificación de bytecode de contratos inteligentes, create-hardhat3-app para la creación de proyectos de Ethereum ETH $2 964 volatilidad 24h: 4.8% Capitalización de mercado: $357.84 B Vol. 24h: $32.76 B, y coinmarketcap-api para la integración de datos de precios.
Otras librerías cripto afectadas incluyen ethereum-ens y crypto-addr-codec, que maneja la codificación de direcciones de criptomonedas. Más de 40 paquetes dentro del alcance de @ensdomains fueron comprometidos.
El incidente recuerda a una puerta trasera descubierta en los paquetes de XRP Ledger en abril, donde se inyectó código malicioso en xrpl.js para robar claves privadas.
Cómo funciona el ataque
Paquetes maliciosos fueron subidos a npm entre el 21 y el 23 de noviembre. El malware se propaga comprometiendo cuentas de mantenedores e inyectando código en sus paquetes. Se ejecuta automáticamente cuando los desarrolladores ejecutan comandos de instalación estándar.
El malware recolecta contraseñas de desarrolladores y tokens de acceso de GitHub, npm y los principales servicios en la nube. Publica los datos robados en repositorios públicos de GitHub y crea puntos de acceso ocultos en las máquinas infectadas para futuros ataques.
Una búsqueda en GitHub muestra que ahora 26.300 repositorios contienen credenciales robadas, distribuidas en aproximadamente 350 cuentas comprometidas. El número sigue creciendo mientras el ataque continúa activo.
Investigadores de Koi Security descubrieron una amenaza adicional. Si el malware no puede robar credenciales ni enviar datos, borra todos los archivos en el directorio home del usuario.
Respuesta de los desarrolladores
ENS Labs declaró que los desarrolladores que no hayan instalado paquetes de ENS dentro de las 11 horas posteriores a la detección a las 5:49 a.m. UTC probablemente no se vean afectados. Aquellos que instalaron durante esa ventana deben eliminar sus carpetas node_modules, limpiar la caché de npm y cambiar todas sus credenciales.
El incidente sigue a una serie de brechas de seguridad cripto que han puesto a prueba proyectos de infraestructura este año. GitHub está eliminando activamente los repositorios creados por los atacantes, aunque siguen apareciendo nuevos.
next
