NPM pone en riesgo transacciones cripto desde JavaScript

NPM pone en riesgo transacciones cripto desde JavaScript

Un ataque masivo a las librerías de JavaScript fue desatado luego de que la cuenta NPM de un desarrollador reconocido fuera comprometida mediante un sofisticado phishing. Esto permitió inyectar código malicioso en 18 a 25 paquetes populares (como chalk, debug y ansi-styles) que en conjunto suman más de 2 mil millones de descargas semanales

¿Cómo funciona el malware?

El código malicioso está diseñado para interceptar transacciones cripto desde navegadores o aplicaciones Web3. Cuando un usuario intenta realizar un envío intencional, el malware sustituye silenciosamente la dirección de destino por una controlada por el atacante, haciendo que los fondos terminen en manos del hacker, sin que el usuario lo note. Si quieres entrar en detalles más complejos te recomendamos este hilo de X

Las cold wallet están más seguras (como siempre) 

Proveedores como Trezor, Jade Wallet, Bitbox02, Tangem y Ledger confirmaron que no descargaron las versiones contaminadas de los paquetes afectados. Esto significa que su infraestructura no estuvo en riesgo directo.

Sin embargo, existe un matiz importante: incluso con una hardware wallet, si interactúas con una interfaz comprometida (por ejemplo, un exchange descentralizado que haya incorporado código infectado), el riesgo persiste.

Por eso, la recomendación general en la industria ha sido evitar realizar transacciones on-chain en los próximos días, hasta que todo se estabilice y se confirme qué dependencias fueron completamente revisadas.

Y qué pasa con las hot wallet? 

Ante la magnitud de la noticia, los grandes nombres del mundo de las wallets tuvieron que pronunciarse rápidamente:

MetaMask quiso transmitir calma. A través de un comunicado en su cuenta de X, afirmaron que los usuarios no debían alarmarse. Explicaron que la seguridad de su producto descansa en múltiples capas de defensa, incluyendo bloqueo de versiones, procesos de despliegue controlados y revisiones tanto manuales como automatizadas. En otras palabras, el ataque no los tomó desprevenidos.

Phantom Wallet, una de las billeteras más populares del ecosistema Solana, confirmó que no estuvo en riesgo durante este incidente. Según su equipo, sus protocolos de seguridad internos impidieron que el ataque los afectara, reafirmando la robustez de su arquitectura.

Si todas dicen estar bien, ¿por qué tanta preocupación? 

Es cierto que MetaMask, Phantom y los fabricantes de hardware wallets han confirmado que su infraestructura y procesos no fueron comprometidos. A simple vista, eso debería tranquilizar a la comunidad.

Los paquetes comprometidos forman parte de la base del ecosistema JavaScript, con miles de proyectos que los usan de forma directa o indirecta. Aunque las grandes wallets estén seguras, cualquier aplicación DeFi, exchange o DApp más pequeña podría haber integrado versiones contaminadas sin saberlo.El ataque no roba fondos de golpe: espera a que el usuario haga una transacción legítima y cambia la dirección de destino sin que se note. Esto hace que el problema sea difícil de detectar y que muchos usuarios ni siquiera sospechen que fueron víctimas.

El hecho de que un único desarrollador comprometido haya afectado a paquetes con miles de millones de descargas demuestra que la seguridad de todo el ecosistema depende de muy pocos eslabones. Si pasó una vez, puede volver a pasar.

Aunque los grandes jugadores salieron ilesos, la amenaza mostró qué tan expuestos estamos todos por depender de la misma base de código. Hoy fueron chalk y debug. Mañana podría ser cualquier otra librería crítica.