Los atacantes están utilizando contratos inteligentes de Ethereum para ocultar URL maliciosas dentro de los paquetes NPM, lo que complica la detección y plantea un riesgo para la cadena de suministro.

Resumen ejecutivo

Los atacantes están aprovechando los contratos inteligentes de Ethereum para ocultar URL maliciosas dentro de los paquetes NPM, lo que dificulta la detección y plantea un riesgo para la cadena de suministro. Este novedoso enfoque marca una evolución en las estrategias de ciberataque dirigidas a los ecosistemas cripto y Web3.

El evento en detalle

A principios de julio, el investigador de ReversingLabs, Karlo Zanki, descubrió un paquete malicioso llamado “colortoolsv2” en NPM. Un paquete duplicado, “mimelib2”, se publicó posteriormente después de que se eliminó el paquete inicial. Ambos paquetes implementaron una carga útil de malware de segunda etapa a través de la infraestructura de blockchain. En lugar de incrustar URL o scripts directamente dentro del paquete, los paquetes utilizaron contratos inteligentes de Ethereum para almacenar y entregar URL para buscar el malware de segunda etapa. Esta táctica dificulta significativamente la detección, ya que la infraestructura maliciosa está oculta dentro del código de la cadena de bloques en lugar de dentro de los archivos del paquete.

Implicaciones en el mercado

El uso de contratos inteligentes de Ethereum para ocultar comandos maliciosos representa una nueva estrategia de evasión. Según el informe de seguridad de la cadena de suministro de software de 2025 de ReversingLabs, hubo 23 campañas de este tipo en 2024, incluido un compromiso del paquete PyPI ultralytics en diciembre que entregó un minero de monedas. El ecosistema de Ethereum y las herramientas criptográficas de código abierto enfrentan una menor confianza debido a esta vulnerabilidad.

Comentario de expertos

Los investigadores de ReversingLabs declararon que el uso de contratos inteligentes para cargar comandos maliciosos es algo que no habían visto anteriormente y destaca la rápida evolución de las estrategias de evasión de detección por parte de actores maliciosos.

Contexto más amplio

La industria de la criptografía se enfrenta a un número creciente de ataques cibernéticos. En la primera mitad de 2025, se robaron 2470 millones de dólares en activos digitales a través de incidentes de piratería. Un solo incidente en febrero resultó en una pérdida de 1500 millones de dólares para Bybit. La disminución en la participación estadounidense de desarrolladores de código abierto del 25% en 2021 al 18% en 2025, citando la “falta de claridad regulatoria” como el principal impulsor.