Paquetes npm maliciosos que roban claves de wallets Ethereum

Detectados paquetes npm maliciosos que roban claves de wallets Ethereum – Una Al Día

Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Alta

Conclusiones clave

• Cuatro paquetes npm han sido identificados como maliciosos, diseñados para robar claves y semillas de wallets Ethereum.
• Los paquetes se presentan como herramientas legítimas de desarrollo, lo que facilita su uso inadvertido por parte de los desarrolladores.
• Es recomendable que los desarrolladores realicen auditorías exhaustivas de las dependencias npm y monitoreen el código no autorizado.
• Las técnicas utilizadas por estos paquetes complican su detección, haciendo que actúen solo en situaciones específicas.
• Se sugiere el uso de herramientas de seguridad como Socket o Snyk para protegerse contra comportamientos peligrosos en bibliotecas de código abierto.

Índice

• Paquetes maliciosos detectados
• Riesgos asociados
• Acciones recomendadas
• Herramientas de seguridad

Paquetes maliciosos detectados

Recientemente, se han identificado cuatro paquetes maliciosos en el registro npm que, bajo la apariencia de ser herramientas legítimas para desarrolladores de Ethereum, están diseñados para exportar credenciales de wallets y semillas criptográficas. Esto representa un grave riesgo de robo de fondos que puede afectar tanto a proyectos como a operadores en el ámbito DeFi.

Los paquetes dañinos detectados son (@flashbotts/ethers-provider-bundle, flashbot-sdk-eth, sdk-ethers y gram-utilz), que se presentan como utilidades de cifrado o SDKs relacionados con Flashbots MEV, pero en su interior albergan código diseñado para sustraer información sensible. Utilizan técnicas sigilosas para enviar claves y semillas mediante bots de Telegram o a través de SMTP utilizando servicios como Mailtrap. En algunos casos, estas funciones maliciosas se activan únicamente en situaciones específicas, lo que complica su detección y permite que el código legítimo o benigno oculte su verdadera naturaleza.

Riesgos asociados

El principal riesgo asociado a estos paquetes radica en la posibilidad de que claves privadas y semillas sean robadas, otorgando a los atacantes control total sobre las wallets y los fondos. Un ataque exitoso podría resultar en la pérdida inmediata e irreversible de criptoactivos, además de propiciar la manipulación de transacciones y el acceso no autorizado a información confidencial de los proyectos involucrados. Dado que están dirigidos a desarrolladores DeFi y operadores de bots MEV, la superficie de ataque es considerable, afectando a entidades que manejan volúmenes significativos de activos.

Acciones recomendadas

Por lo tanto, es imperativo llevar a cabo una revisión exhaustiva de las dependencias npm en los proyectos Web3 y DeFi, eliminando estos paquetes y cualquier variante que despierte sospechas. Además, es crucial auditar de inmediato la presencia de código no autorizado. Los desarrolladores deben proceder a rotar las claves y semillas comprometidas, implementar el monitoreo de dependencias, y confiar únicamente en fuentes y autores verificados, corroborando su identidad a través de firmas o referencias cruzadas.

Herramientas de seguridad

Asimismo, se recomienda considerar herramientas de seguridad enfocadas en la cadena de suministro, como Socket o Snyk, que pueden alertar sobre comportamientos peligrosos dentro de las bibliotecas utilizadas. Este incidente resalta el alto riesgo de seguridad asociado con la cadena de suministro en software de código abierto. Por ello, los desarrolladores deben ejercer un escrutinio considerable al incorporar nuevas dependencias y estar atentos a cambios sospechosos en las librerías, ya que un solo paquete comprometido puede desencadenar pérdidas millonarias e irreparables en los ecosistemas de blockchain.

Referencias

• Socket – Herramienta de seguridad para verificar bibliotecas npm.
• Snyk – Plataforma para encontrar y solucionar vulnerabilidades en dependencias de código abierto.