Advertencia: Hackeo Masivo en JavaScript Pone en Riesgo Carteras Cripto

Grandes cantidades de usuarios de criptomonedas podrían estar en riesgo de que les roben sus fondos tras el descubrimiento de paquetes de código JavaScript comprometidos, advirtió el lunes el CTO de Ledger, Charles Guillemet.

NPM es un gestor de paquetes prominente para JavaScript, y Guillemet dijo en X que todo el ecosistema del lenguaje de programación podría ser vulnerable después de que se comprometiera la cuenta de un desarrollador de renombre, lo que podría propagar una carga maliciosa a varios sitios web.

"La carga maliciosa funciona intercambiando direcciones de criptomonedas silenciosamente para robar fondos", señaló, agregando que los paquetes comprometidos han sido descargados más de 1.000 millones de veces. Guillemet añadió que los fondos en "potencialmente todas las cadenas" podrían ser vulnerables a la explotación.

"Recomendaría firmemente no firmar ninguna transacción de criptomonedas en este momento", advirtió mientras tanto el desarrollador de software Cygaar, señalando que "varios sitios web de criptomonedas" podrían ser vulnerables.

La firma de seguridad blockchain Blockaid dijo en X que el compromiso afecta a alrededor de dos docenas de paquetes populares, como "color-name" y "color-string". NPM aloja paquetes de código reutilizable que los usuarios pueden integrar en sus proyectos, los cuales son escritos por otros.

"Cambia la dirección de destino de las transacciones y aprobaciones a las direcciones del atacante en lugar de la dirección con la que realmente estás intentando interactuar", explicó Cygaar.

NPM luego pareció deshabilitar los paquetes comprometidos, agregó Cygaar. Sin embargo, animó a los desarrolladores a verificar aún sus dependencias, señalando que podrían haber descargado un paquete comprometido antes de que se realizara el cambio.

El sentimiento fue compartido por el autor de una publicación a la que Guillemet enlazó en X, que afirmaba que están "trabajando activamente con el equipo de seguridad de NPM para resolver el problema" y que el código malicioso había sido eliminado de la mayoría de las páginas web afectadas.

El autor dijo que la cuenta de NPM afectada se llamaba "qix", y el parche malicioso afectó "algunas de las utilidades más fundamentales en JavaScript" que se utilizan como bloques de construcción para innumerables proyectos.

Los espectadores señalaron que la carga maliciosa podría reemplazar direcciones de criptomonedas, pero los usuarios aún necesitarían aprobar manualmente una transacción antes de que los fondos pudieran ser enviados, una ventana para que los usuarios reconozcan que sus fondos se dirigían al lugar equivocado.

La situación destaca cómo la industria de las criptomonedas, de alguna manera, sigue siendo vulnerable a dependencias del mundo Web2 y otras formas de software de código abierto, dijo a Decrypt Mary Gooneratne, cofundadora y COO de Loopscale.

Los paquetes comprometidos estuvieron en línea solo durante unas pocas horas, pero "es [aún] bastante aterrador", señaló, destacando que existen medidas para evitar que los paquetes de NPM se actualicen automáticamente.

"Es una buena lección para el ecosistema", afirmó. "Creo que esta fue una buena oportunidad para que todos se aseguren de que todo esté limpio".

Gooneratne dijo que Loopscale, un protocolo de préstamos en Solana, no fue comprometido. Y la billetera de autocustodia Phantom fue uno de los otros proyectos el lunes que dijo que no se vio afectado por el ataque de la cadena de suministro.

En Github, la persona vinculada a la cuenta de NPM comprometida dijo que se había puesto en contacto con NPM y que la empresa estaba trabajando en eliminar los paquetes comprometidos. Señaló que fue víctima de un correo electrónico para restablecer la autenticación de dos factores de una cuenta.

"Sí, he sido comprometido", escribieron. "Sinceramente lo siento, esto es vergonzoso".

Decrypt se puso en contacto con NPM para hacer comentarios, pero no recibió una respuesta de inmediato.

Nota del editor: Esta historia está en desarrollo y se actualizará con más contexto.