El Director de Tecnología de Ledger, Charles Guillemet, ha dado la voz de alarma sobre lo que describió como uno de los ataques a la cadena de suministro más graves que jamás hayan afectado al ecosistema de JavaScript.
Ledger Emite Advertencia Urgente
El lunes, el CTO de Ledger, Guillemet, publicó en X que la cuenta npm de un mantenedor de código abierto de buena reputación había sido comprometida, lo que llevó a actualizaciones maliciosas en bibliotecas de software de uso generalizado.
Él escribió,
“Hay un ataque a gran escala a la cadena de suministro en curso… todo el ecosistema de JavaScript puede estar en riesgo.”
Él enfatizó que los usuarios de billeteras de hardware permanecen seguros si verifican cada transacción, pero aconsejó a todos los demás que dejen de realizar transacciones en blockchain temporalmente.
Actualizaciones maliciosas a paquetes de uso generalizado
La brecha ocurrió el 8 de septiembre cuando los hackers obtuvieron acceso a la cuenta de npm de Josh Goldberg, conocido como "Qix". Los atacantes publicaron versiones corruptas de 18 paquetes, incluidos chalk, debug, strip-ansi y color-convert, que en conjunto representan más de 2.6 mil millones de descargas semanales y están incrustados en herramientas de desarrollo fundamentales como Babel y ESLint.
Investigadores descubrieron que el código inyectado portaba un malware “crypto-clipper” diseñado para interceptar funciones del navegador. La carga útil intercambia direcciones de billetera legítimas por aquellas controladas por el atacante y, en algunos casos, secuestra las comunicaciones de la billetera para modificar transacciones antes de que se apliquen las firmas. El malware fue detectado por primera vez después de que un error de compilación revelara un código oculto ofuscado.
Estrategia de Ataque Sofisticada
El análisis mostró que el malware fue diseñado con tácticas duales: reemplazar pasivamente las direcciones de billetera con imitaciones, mientras interceptaba y alteraba activamente las transacciones en billeteras basadas en navegadores como MetaMask. Este enfoque en capas permitió a los atacantes redirigir fondos sin problemas, a menudo sin que los usuarios se dieran cuenta.
Las investigaciones sugieren que la violación se originó a partir de un ataque de phishing a los mantenedores de npm. Correos electrónicos fraudulentos, que se hacían pasar por avisos de seguridad oficiales de npm, instruían a los destinatarios a actualizar la autenticación de dos factores o arriesgar la suspensión de la cuenta. Las víctimas que siguieron el enlace fueron dirigidas a una página de inicio de sesión falsa, lo que permitió a los atacantes apoderarse de las credenciales e infiltrarse en la cuenta de Goldberg.
Una vez dentro, los atacantes distribuyeron versiones maliciosas de los paquetes centrales, armando efectivamente herramientas de software en las que confían millones. La firma de seguridad Aikido señaló que el código funcionaba como un interceptor de navegador, capaz de reescribir destinos de pago, alterar llamadas a API y manipular el contenido del sitio web.
Secuelas en curso y preocupaciones de la industria
Aunque npm ha eliminado muchas de las versiones comprometidas, los expertos en seguridad advierten que las dependencias transitivas ocultas dificultan contener completamente el ataque. Se insta a los desarrolladores a auditar los proyectos, fijar versiones de paquetes conocidas como seguras y reconstruir los archivos de bloqueo de inmediato.
El incidente subraya la fragilidad del ecosistema de código abierto, que depende en gran medida de la confianza entre los mantenedores y los desarrolladores. Con las direcciones de billetera vinculadas a fondos robados que ya están apareciendo en la cadena, los investigadores están calificando el ataque como uno de los más severos en la historia del ecosistema de JavaScript.
Descargo de responsabilidad: Este artículo se proporciona solo con fines informativos. No se ofrece ni se pretende que se utilice como asesoramiento legal, fiscal, de inversión, financiero u otro.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Advertencia global de Cripto: Ledger señala una importante violación de la Cadena de suministro de JavaScript
El Director de Tecnología de Ledger, Charles Guillemet, ha dado la voz de alarma sobre lo que describió como uno de los ataques a la cadena de suministro más graves que jamás hayan afectado al ecosistema de JavaScript.
Ledger Emite Advertencia Urgente
El lunes, el CTO de Ledger, Guillemet, publicó en X que la cuenta npm de un mantenedor de código abierto de buena reputación había sido comprometida, lo que llevó a actualizaciones maliciosas en bibliotecas de software de uso generalizado.
Él escribió,
“Hay un ataque a gran escala a la cadena de suministro en curso… todo el ecosistema de JavaScript puede estar en riesgo.”
Él enfatizó que los usuarios de billeteras de hardware permanecen seguros si verifican cada transacción, pero aconsejó a todos los demás que dejen de realizar transacciones en blockchain temporalmente.
Actualizaciones maliciosas a paquetes de uso generalizado
La brecha ocurrió el 8 de septiembre cuando los hackers obtuvieron acceso a la cuenta de npm de Josh Goldberg, conocido como "Qix". Los atacantes publicaron versiones corruptas de 18 paquetes, incluidos chalk, debug, strip-ansi y color-convert, que en conjunto representan más de 2.6 mil millones de descargas semanales y están incrustados en herramientas de desarrollo fundamentales como Babel y ESLint.
Investigadores descubrieron que el código inyectado portaba un malware “crypto-clipper” diseñado para interceptar funciones del navegador. La carga útil intercambia direcciones de billetera legítimas por aquellas controladas por el atacante y, en algunos casos, secuestra las comunicaciones de la billetera para modificar transacciones antes de que se apliquen las firmas. El malware fue detectado por primera vez después de que un error de compilación revelara un código oculto ofuscado.
Estrategia de Ataque Sofisticada
El análisis mostró que el malware fue diseñado con tácticas duales: reemplazar pasivamente las direcciones de billetera con imitaciones, mientras interceptaba y alteraba activamente las transacciones en billeteras basadas en navegadores como MetaMask. Este enfoque en capas permitió a los atacantes redirigir fondos sin problemas, a menudo sin que los usuarios se dieran cuenta.
Las investigaciones sugieren que la violación se originó a partir de un ataque de phishing a los mantenedores de npm. Correos electrónicos fraudulentos, que se hacían pasar por avisos de seguridad oficiales de npm, instruían a los destinatarios a actualizar la autenticación de dos factores o arriesgar la suspensión de la cuenta. Las víctimas que siguieron el enlace fueron dirigidas a una página de inicio de sesión falsa, lo que permitió a los atacantes apoderarse de las credenciales e infiltrarse en la cuenta de Goldberg.
Una vez dentro, los atacantes distribuyeron versiones maliciosas de los paquetes centrales, armando efectivamente herramientas de software en las que confían millones. La firma de seguridad Aikido señaló que el código funcionaba como un interceptor de navegador, capaz de reescribir destinos de pago, alterar llamadas a API y manipular el contenido del sitio web.
Secuelas en curso y preocupaciones de la industria
Aunque npm ha eliminado muchas de las versiones comprometidas, los expertos en seguridad advierten que las dependencias transitivas ocultas dificultan contener completamente el ataque. Se insta a los desarrolladores a auditar los proyectos, fijar versiones de paquetes conocidas como seguras y reconstruir los archivos de bloqueo de inmediato.
El incidente subraya la fragilidad del ecosistema de código abierto, que depende en gran medida de la confianza entre los mantenedores y los desarrolladores. Con las direcciones de billetera vinculadas a fondos robados que ya están apareciendo en la cadena, los investigadores están calificando el ataque como uno de los más severos en la historia del ecosistema de JavaScript.
Descargo de responsabilidad: Este artículo se proporciona solo con fines informativos. No se ofrece ni se pretende que se utilice como asesoramiento legal, fiscal, de inversión, financiero u otro.