Los hackers están utilizando contratos inteligentes de Ethereum para ocultar código malicioso dentro de paquetes npm, lo que aumenta la dificultad de detección y eliminación.

Resumen Ejecutivo

Los atacantes están aprovechando los contratos inteligentes de Ethereum para ocultar código malicioso dentro de los paquetes npm, una táctica que aumenta la complejidad de la detección y eliminación. Esta campaña, descubierta por ReversingLabs en julio de 2025, destaca la sofisticación en evolución de los ataques a la cadena de suministro de software dirigidos a los sectores de cripto y fintech.

El Evento en Detalle

En julio de 2025, los investigadores de ReversingLabs descubrieron dos paquetes maliciosos, colortoolsv2 y mimelib2, en el repositorio de paquetes npm. Estos paquetes emplearon contratos inteligentes de Ethereum para ocultar comandos maliciosos que instalaban malware descargador en los sistemas comprometidos. En lugar de incrustar directamente URL sospechosas, el malware consultó contratos inteligentes de Ethereum para obtener direcciones de servidor de comando y control (C2), una técnica conocida como "EtherHiding". El paquete colortoolsv2, por ejemplo, contenía una carga útil maliciosa y ofuscada en su script index.js que obtenía y ejecutaba comandos maliciosos. Los paquetes fueron reportados a los mantenedores de npm y posteriormente eliminados.

Implicaciones para el Mercado

Este novedoso vector de ataque plantea preocupaciones sobre la seguridad de los repositorios de código abierto y el potencial de compromiso generalizado. Como señaló Lucija Valentić, investigadora de ReversingLabs, >“Lo nuevo y diferente es el uso de contratos inteligentes de Ethereum para alojar las URL donde se encuentran los comandos maliciosos, descargando el malware de segunda etapa. No habíamos visto esto antes, y esto ilustra la rápida evolución de las estrategias de evasión por parte de los actores maliciosos que apuntan a los repositorios de código abierto y a los desarrolladores.”

Este incidente podría llevar a un mayor escrutinio de los paquetes npm y la seguridad de los contratos inteligentes, impulsando potencialmente la adopción de nuevos protocolos de seguridad y prácticas de auditoría.

Contexto Más Amplio

Este ataque es parte de una campaña más amplia en la que los actores de amenazas crearon repositorios falsos disfrazados de bots de comercio de criptomonedas en GitHub. Estos repositorios, como solana-trading-bot-v2, presentaban miles de commits falsos y calificaciones de estrellas infladas para engañar a los desarrolladores. La firma de ciberseguridad Kaspersky también advirtió sobre campañas similares en GitHub, donde los hackers crean proyectos fraudulentos que contienen troyanos de acceso remoto (RAT) y ladrones de información diseñados para robar criptomonedas y credenciales de inicio de sesión. Los incidentes de seguridad de Web3 resultaron en más de 2.300 millones de dólares en pérdidas de criptomonedas en 2024, lo que destaca el creciente incentivo financiero para este tipo de ataques. Este incidente subraya la necesidad de una validación de seguridad continua y medidas de seguridad proactivas a lo largo de todo el ciclo de vida del desarrollo, en lugar de depender únicamente de auditorías reactivas.