La cuenta NPM de un renombrado desarrollador fue hackeada, liberando versiones maliciosas de paquetes como chalk y color-convert, descargados miles de millones de veces—lo que desencadenó un enorme riesgo en la cadena de suministro.
Los atacantes incrustaron un secuestrador de portapapeles que reemplaza las direcciones de billetera de criptomonedas utilizando visuales casi idénticos ( a través de la distancia de Levenshtein) o anula activamente las direcciones detectadas por el navegador para interceptar transacciones.
Aunque las ganancias del hacker hasta ahora totalizan solo ~$496, la mayoría de los paquetes afectados están arreglados o eliminados; las principales billeteras (, por ejemplo, MetaMask, Phantom) confirmaron que no se vieron afectadas, pero se mantiene la precaución.
Un importante ataque a la cadena de suministro de NPM ha comprometido paquetes de JavaScript ampliamente utilizados, descargados más de 1 mil millones de veces, inyectando secuestradores de direcciones de criptomonedas que roban fondos de manera silenciosa. Aquí está lo que ocurrió y cómo protegerte.
El 9 de septiembre, hora de Beijing, Charles Guillemet, Director de Tecnología de Ledger, publicó una advertencia en X: ” Actualmente está en marcha un ataque masivo a la cadena de suministro, y la cuenta NPM de un desarrollador bien conocido ha sido comprometida. Los paquetes afectados se han descargado más de 1 mil millones de veces, lo que significa que todo el ecosistema de JavaScript puede estar en riesgo. “
Guillemet añadió: “El código malicioso funciona alterando silenciosamente las direcciones de criptomonedas en segundo plano para robar fondos. Si usas una wallet de hardware, por favor verifica cuidadosamente cada transacción firmada y estarás a salvo. Si no usas una wallet de hardware, por favor evita hacer cualquier transacción en la cadena por el momento. No está claro si los atacantes están robando directamente las frases mnemotécnicas de las wallets de software.”
¿QUÉ PASÓ?
Según el informe de seguridad citado por Guillemet, la causa directa de este incidente fue que la cuenta de NPM del conocido desarrollador @qix fue hackeada, lo que resultó en la liberación de versiones maliciosas de docenas de paquetes de software, incluidos chalk, strip-ansi y color-convert. El código malicioso puede haberse propagado al terminal cuando los desarrolladores o usuarios instalaron automáticamente las dependencias.
Odaily Nota: Datos semanales de descarga de paquetes de software comprometidos.
En resumen, este es un caso clásico de un ataque a la cadena de suministro—un ataque en el que un atacante inserta código malicioso ( como paquetes de NPM ) en herramientas de desarrollo o sistemas de dependencia. NPM, que significa Node Package Manager, es la herramienta de gestión de paquetes más utilizada en el ecosistema de JavaScript/Node.js. Sus funciones principales incluyen gestionar dependencias, instalar y actualizar paquetes y compartir código.
El ecosistema de NPM es extremadamente grande, con millones de paquetes de software actualmente disponibles. Casi todos los proyectos de Web3, billeteras de criptomonedas y herramientas de front-end dependen de NPM. Precisamente porque NPM depende de un gran número de dependencias y enlaces complejos, es un punto de entrada de alto riesgo para ataques a la cadena de suministro. Siempre que un atacante implante código malicioso en un paquete de software de uso común, puede afectar a miles de aplicaciones y usuarios.
Como se muestra en el diagrama de flujo de difusión de código malicioso arriba:
Un cierto proyecto (blue box) dependerá directamente de algunas bibliotecas de código abierto comunes, como express.
Estas dependencias directas (cajas verdes) dependen a su vez de otras dependencias indirectas (cajas amarillas, como lodash).
Si una dependencia indirecta es secretamente implantada con código malicioso (caja roja) por un atacante, entrará en el proyecto a lo largo de la cadena de dependencias.
¿QUÉ SIGNIFICA ESTO PARA LAS CRIPTOMONEDAS?
La relevancia directa de este incidente de seguridad para la industria de las criptomonedas radica en el hecho de que el código malicioso implantado por los hackers en el paquete de software contaminado mencionado anteriormente es un sofisticado “secuestrador de portapapeles de criptomonedas” que roba activos cripto al reemplazar direcciones de billetera y secuestrar transacciones.
El fundador de Stress Capital, GE (@GuarEmperor), explicó esto en más detalle en X. El “secuestrador de portapapeles” inyectado por el hacker utiliza dos modos de ataque: el modo pasivo utiliza el “algoritmo de distancia de Levenshtein” para reemplazar la dirección de la cartera, lo que es extremadamente difícil de detectar debido a su similitud visual; el modo activo detecta la cartera encriptada en el navegador y modifica la dirección objetivo antes de que el usuario firme la transacción.
Dado que este ataque tiene como objetivo las bibliotecas de capa base del proyecto JavaScript, incluso los proyectos que dependen indirectamente de estas bibliotecas pueden verse afectados.
¿CUÁNTO DINERO GANAN LOS HACKERS?
El código malicioso implantado por el hacker también reveló su dirección de ataque. La principal dirección de ataque del hacker en Ethereum es 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, y los fondos provienen principalmente de las siguientes tres direcciones:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkham ha creado una página de seguimiento para este ataque, donde los usuarios pueden verificar las ganancias del hacker y el estado de la transferencia en tiempo real.
Hasta la fecha de esta publicación, los hackers solo han obtenido $496 de la ataque, pero considerando que la extensión de la propagación del código malicioso aún no se ha determinado, se espera que esta cifra pueda seguir aumentando. El desarrollador ha sido notificado y está trabajando activamente con el equipo de seguridad de NPM para resolver el problema. El código malicioso ha sido eliminado de la mayoría de los paquetes afectados, por lo que la situación está bajo control.
¿CÓMO EVITAR RIESGOS?
El fundador de Defillama @0xngmi Yu X dijo que, aunque este incidente suena peligroso, el impacto real no es tan exagerado, porque este incidente solo afectará a los sitios web que han publicado actualizaciones desde que se lanzó el paquete NPM hackeado, y otros proyectos seguirán utilizando la versión anterior; y la mayoría de los proyectos corregirán sus dependencias, por lo que incluso si publican actualizaciones, seguirán utilizando el antiguo código de seguridad.
Sin embargo, dado que los usuarios no pueden saber realmente si un proyecto tiene dependencias fijas o si tiene algunas dependencias descargadas dinámicamente, se requiere que la parte del proyecto realice una autoinspección y lo divulgue primero.
Hasta la fecha de esta publicación, múltiples proyectos de billeteras o aplicaciones, incluyendo MetaMask, Phantom, Aave, Fluid y Jupiter, han declarado que no se ven afectados por este incidente. Por lo tanto, en teoría, los usuarios pueden usar de manera segura billeteras confirmadas como seguras para acceder a protocolos confirmados como seguros. Sin embargo, para otras billeteras o proyectos que aún no han hecho divulgaciones de seguridad, puede ser más seguro evitar usarlos temporalmente.
〈Durante la noche, "los ataques a la cadena de suministro" dominaron los titulares: ¿Qué pasó? ¿Cómo podemos mitigar los riesgos?〉Este artículo fue publicado originalmente en "CoinRank".
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Durante la noche, "los ataques a la cadena de suministro" dominaron los titulares: ¿Qué ocurrió? ¿Cómo podemos mitigar los riesgos?
La cuenta NPM de un renombrado desarrollador fue hackeada, liberando versiones maliciosas de paquetes como chalk y color-convert, descargados miles de millones de veces—lo que desencadenó un enorme riesgo en la cadena de suministro.
Los atacantes incrustaron un secuestrador de portapapeles que reemplaza las direcciones de billetera de criptomonedas utilizando visuales casi idénticos ( a través de la distancia de Levenshtein) o anula activamente las direcciones detectadas por el navegador para interceptar transacciones.
Aunque las ganancias del hacker hasta ahora totalizan solo ~$496, la mayoría de los paquetes afectados están arreglados o eliminados; las principales billeteras (, por ejemplo, MetaMask, Phantom) confirmaron que no se vieron afectadas, pero se mantiene la precaución.
Un importante ataque a la cadena de suministro de NPM ha comprometido paquetes de JavaScript ampliamente utilizados, descargados más de 1 mil millones de veces, inyectando secuestradores de direcciones de criptomonedas que roban fondos de manera silenciosa. Aquí está lo que ocurrió y cómo protegerte.
El 9 de septiembre, hora de Beijing, Charles Guillemet, Director de Tecnología de Ledger, publicó una advertencia en X: ” Actualmente está en marcha un ataque masivo a la cadena de suministro, y la cuenta NPM de un desarrollador bien conocido ha sido comprometida. Los paquetes afectados se han descargado más de 1 mil millones de veces, lo que significa que todo el ecosistema de JavaScript puede estar en riesgo. “
Guillemet añadió: “El código malicioso funciona alterando silenciosamente las direcciones de criptomonedas en segundo plano para robar fondos. Si usas una wallet de hardware, por favor verifica cuidadosamente cada transacción firmada y estarás a salvo. Si no usas una wallet de hardware, por favor evita hacer cualquier transacción en la cadena por el momento. No está claro si los atacantes están robando directamente las frases mnemotécnicas de las wallets de software.”
¿QUÉ PASÓ?
Según el informe de seguridad citado por Guillemet, la causa directa de este incidente fue que la cuenta de NPM del conocido desarrollador @qix fue hackeada, lo que resultó en la liberación de versiones maliciosas de docenas de paquetes de software, incluidos chalk, strip-ansi y color-convert. El código malicioso puede haberse propagado al terminal cuando los desarrolladores o usuarios instalaron automáticamente las dependencias.
Odaily Nota: Datos semanales de descarga de paquetes de software comprometidos.
En resumen, este es un caso clásico de un ataque a la cadena de suministro—un ataque en el que un atacante inserta código malicioso ( como paquetes de NPM ) en herramientas de desarrollo o sistemas de dependencia. NPM, que significa Node Package Manager, es la herramienta de gestión de paquetes más utilizada en el ecosistema de JavaScript/Node.js. Sus funciones principales incluyen gestionar dependencias, instalar y actualizar paquetes y compartir código.
El ecosistema de NPM es extremadamente grande, con millones de paquetes de software actualmente disponibles. Casi todos los proyectos de Web3, billeteras de criptomonedas y herramientas de front-end dependen de NPM. Precisamente porque NPM depende de un gran número de dependencias y enlaces complejos, es un punto de entrada de alto riesgo para ataques a la cadena de suministro. Siempre que un atacante implante código malicioso en un paquete de software de uso común, puede afectar a miles de aplicaciones y usuarios.
Como se muestra en el diagrama de flujo de difusión de código malicioso arriba:
Un cierto proyecto (blue box) dependerá directamente de algunas bibliotecas de código abierto comunes, como express.
Estas dependencias directas (cajas verdes) dependen a su vez de otras dependencias indirectas (cajas amarillas, como lodash).
Si una dependencia indirecta es secretamente implantada con código malicioso (caja roja) por un atacante, entrará en el proyecto a lo largo de la cadena de dependencias.
¿QUÉ SIGNIFICA ESTO PARA LAS CRIPTOMONEDAS?
La relevancia directa de este incidente de seguridad para la industria de las criptomonedas radica en el hecho de que el código malicioso implantado por los hackers en el paquete de software contaminado mencionado anteriormente es un sofisticado “secuestrador de portapapeles de criptomonedas” que roba activos cripto al reemplazar direcciones de billetera y secuestrar transacciones.
El fundador de Stress Capital, GE (@GuarEmperor), explicó esto en más detalle en X. El “secuestrador de portapapeles” inyectado por el hacker utiliza dos modos de ataque: el modo pasivo utiliza el “algoritmo de distancia de Levenshtein” para reemplazar la dirección de la cartera, lo que es extremadamente difícil de detectar debido a su similitud visual; el modo activo detecta la cartera encriptada en el navegador y modifica la dirección objetivo antes de que el usuario firme la transacción.
Dado que este ataque tiene como objetivo las bibliotecas de capa base del proyecto JavaScript, incluso los proyectos que dependen indirectamente de estas bibliotecas pueden verse afectados.
¿CUÁNTO DINERO GANAN LOS HACKERS?
El código malicioso implantado por el hacker también reveló su dirección de ataque. La principal dirección de ataque del hacker en Ethereum es 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, y los fondos provienen principalmente de las siguientes tres direcciones:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkham ha creado una página de seguimiento para este ataque, donde los usuarios pueden verificar las ganancias del hacker y el estado de la transferencia en tiempo real.
Hasta la fecha de esta publicación, los hackers solo han obtenido $496 de la ataque, pero considerando que la extensión de la propagación del código malicioso aún no se ha determinado, se espera que esta cifra pueda seguir aumentando. El desarrollador ha sido notificado y está trabajando activamente con el equipo de seguridad de NPM para resolver el problema. El código malicioso ha sido eliminado de la mayoría de los paquetes afectados, por lo que la situación está bajo control.
¿CÓMO EVITAR RIESGOS?
El fundador de Defillama @0xngmi Yu X dijo que, aunque este incidente suena peligroso, el impacto real no es tan exagerado, porque este incidente solo afectará a los sitios web que han publicado actualizaciones desde que se lanzó el paquete NPM hackeado, y otros proyectos seguirán utilizando la versión anterior; y la mayoría de los proyectos corregirán sus dependencias, por lo que incluso si publican actualizaciones, seguirán utilizando el antiguo código de seguridad.
Sin embargo, dado que los usuarios no pueden saber realmente si un proyecto tiene dependencias fijas o si tiene algunas dependencias descargadas dinámicamente, se requiere que la parte del proyecto realice una autoinspección y lo divulgue primero.
Hasta la fecha de esta publicación, múltiples proyectos de billeteras o aplicaciones, incluyendo MetaMask, Phantom, Aave, Fluid y Jupiter, han declarado que no se ven afectados por este incidente. Por lo tanto, en teoría, los usuarios pueden usar de manera segura billeteras confirmadas como seguras para acceder a protocolos confirmados como seguros. Sin embargo, para otras billeteras o proyectos que aún no han hecho divulgaciones de seguridad, puede ser más seguro evitar usarlos temporalmente.
〈Durante la noche, "los ataques a la cadena de suministro" dominaron los titulares: ¿Qué pasó? ¿Cómo podemos mitigar los riesgos?〉Este artículo fue publicado originalmente en "CoinRank".