El mayor ataque a la cadena de suministro de la historia apunta a usuarios de criptomonedas a través de paquetes de JavaScript comprometidos

Un nuevo ciberataque está apuntando silenciosamente a las criptomonedas de los usuarios durante las transacciones, en medio de un incidente que los investigadores de seguridad describen como el mayor ataque a la cadena de suministro en la historia.

BleepingComputer informó que los hackers comprometieron cuentas de mantenedores de paquetes NPM a través de correos electrónicos de phishing e inyectaron malware que roba criptomonedas.

El ataque tuvo como objetivo a desarrolladores de JavaScript con correos electrónicos fraudulentos que parecían provenir de “support@npmjs.help”, un dominio suplantado que imita al registro legítimo de NPM.

Los mensajes de phishing advertían a los mantenedores que sus cuentas serían bloqueadas el 10 de septiembre, a menos que actualizaran sus credenciales de autenticación de dos factores a través de un enlace malicioso.

Los atacantes lograron comprometer 18 paquetes de JavaScript ampliamente utilizados, con descargas semanales colectivas que superan los 2.6 billones.

Las bibliotecas comprometidas incluyen herramientas de desarrollo fundamentales como “chalk” (300 millones de descargas semanales), “debug” (358 millones) y “ansi-styles” (371 millones), afectando prácticamente a todo el ecosistema de JavaScript.

Apuntando a las criptomonedas

El código malicioso funciona como un interceptor basado en navegador, monitoreando el tráfico de red en busca de transacciones de criptomonedas en las redes de Ethereum, Bitcoin, Solana, Tron, Litecoin y Bitcoin Cash.

Cuando los usuarios inician transferencias de criptomonedas, el malware reemplaza silenciosamente las direcciones de las billeteras de destino por cuentas controladas por los atacantes antes de la firma de la transacción.

El investigador de seguridad de Aikido Security, Charlie Eriksen, explicó:

“Lo que lo hace peligroso es que opera en múltiples capas: altera el contenido mostrado en los sitios web, manipula las llamadas a la API y modifica lo que las aplicaciones de los usuarios creen que están firmando.”

El CTO de Ledger, Charles Guillemet, advirtió a los usuarios de criptomonedas sobre la amenaza en curso, señalando que el ecosistema de JavaScript podría estar comprometido dado el enorme número de descargas.

Los usuarios de billeteras hardware mantienen protección si verifican los detalles de la transacción antes de firmar, mientras que los usuarios de billeteras software enfrentan un riesgo mayor. Guillemet aconsejó:

“Si no usás una billetera hardware, evitá realizar cualquier transacción on-chain por ahora.”

También señaló la incertidumbre sobre si los atacantes pueden extraer directamente las frases semilla de las billeteras software.

Objetivo sofisticado

El ataque representa un objetivo sofisticado a la cadena de suministro, donde los criminales comprometen infraestructuras de desarrollo confiables para llegar a los usuarios finales.

Al infiltrarse en paquetes descargados miles de millones de veces por semana, los atacantes obtuvieron un acceso sin precedentes a aplicaciones de criptomonedas e interfaces de billeteras.

BleepingComputer identificó la infraestructura de phishing que exfiltraba credenciales a “websocket-api2.publicvm.com”, demostrando la naturaleza coordinada de la operación.

Este incidente sigue a compromisos similares de bibliotecas de JavaScript a lo largo de 2025, incluyendo el ataque de julio a “eslint-config-prettier”, que tenía 30 millones de descargas semanales, y los compromisos de marzo que afectaron a diez populares bibliotecas NPM.

La publicación Largest supply chain attack in history targets crypto users through compromised JavaScript packages apareció primero en CryptoSlate.