Un ataque de phishing a un desarrollador de Node.js introdujo código malicioso en paquetes npm, atacando las carteras de Ethereum y Solana y afectando más de 2 mil millones de descargas semanales.

Resumen Ejecutivo

Atacantes comprometieron paquetes npm ampliamente utilizados a través de un ataque de phishing, inyectando código malicioso diseñado para robar criptomonedas. El ataque, descubierto el 8 de septiembre de 2025, tuvo como objetivo las carteras de Ethereum y Solana al interceptar y redirigir transacciones. Si bien la ganancia financiera inmediata para el atacante fue mínima, el incidente expuso vulnerabilidades críticas en la cadena de suministro de software y generó preocupaciones sobre la seguridad del ecosistema Web3.

El Evento en Detalle

Un desarrollador de código abierto muy respetado, Josh Junon (también conocido como qix), fue comprometido a través de un correo electrónico de phishing que suplantaba a npmjs.help. El atacante obtuvo el control de la cuenta npm de Junon e inyectó código malicioso en 18 paquetes, incluidas bibliotecas populares como chalk, debug y ansi-styles, afectando a más de 2 mil millones de descargas semanales. El código malicioso se dirigió a las transacciones de criptomonedas, monitoreando específicamente las direcciones de cartera de Ethereum, Solana, Bitcoin, Tron, Litecoin y Bitcoin Cash en el tráfico de red. El código reescribe los objetivos de las transacciones, sustituyendo las direcciones legítimas por las controladas por el atacante, y altera las transacciones sin firmar, modificando los destinatarios y las cantidades antes de que el usuario las firme.

Implicaciones para el mercado

El ataque destaca la vulnerabilidad del ecosistema Web3 a las compromisos de la cadena de suministro. A pesar de la declaración de Binance de que no se comprometieron datos de usuarios ni activos, el incidente plantea preocupaciones más amplias sobre la seguridad del software de código abierto y el potencial de ataques a gran escala dirigidos a los usuarios de criptomonedas. El incidente puede llevar a un mayor escrutinio de las dependencias de software y a un impulso para medidas de seguridad más estrictas dentro del ecosistema Node.js. Los equipos de seguridad se enfrentan a costos significativos para actualizar los sistemas.

Comentario de Expertos

"Incluso el software de código abierto no es seguro en estos días. Web3 redefinirá la seguridad para Web2", afirmó Changpeng Zhao (CZ), cofundador de Binance, en la plataforma social X.

Charles Guillemet, director de tecnología del fabricante de carteras de hardware Ledger, señaló que el código malicioso se había propagado a paquetes con más de mil millones de descargas.

Contexto más amplio

El ataque subraya la importancia de medidas de seguridad robustas dentro de la cadena de suministro de software. Las recomendaciones para mitigar ataques similares incluyen: auditar regularmente las dependencias de npm, usar package-lock.json para asegurar versiones de dependencias consistentes, verificar los editores de paquetes y monitorear las actualizaciones inesperadas de paquetes. El incidente refleja una tendencia creciente de ciberdelincuentes que atacan la infraestructura de criptomonedas a través de sofisticadas campañas de phishing y ataques a la cadena de suministro. Como señalaron los investigadores de seguridad, casi todos los ataques importantes en 2025 tuvieron como objetivo la infraestructura de criptomonedas, y las campañas de phishing demostraron ser más efectivas que los exploits de día cero.