Eventos

ARTÍCULO

Hackeo en NPM: más de mil millones de descargas comprometidas

DonQuijote

hace 5 horas

2

1

0

El ecosistema JavaScript y las criptomonedas enfrentan uno de los mayores incidentes de seguridad del año. A inicios de septiembre de 2025, una cuenta de desarrollador de NPM, plataforma clave para millones de proyectos, fue comprometida y utilizada para distribuir paquetes maliciosos.

El ataque tiene un alcance sin precedentes: los paquetes afectados superan los mil millones de descargas, con la capacidad de alterar transacciones criptográficas en tiempo real.

El compromiso de NPM y su impacto

El ataque comenzó cuando una cuenta de desarrollador confiable en NPM fue vulnerada, aparentemente a través de técnicas de ingeniería social. Una vez dentro, los atacantes publicaron versiones infectadas de al menos dieciocho paquetes populares, utilizados como dependencias en proyectos de todo tipo, desde aplicaciones web hasta herramientas de desarrollo.

El impacto fue inmediato y masivo. Estos paquetes habían sido descargados más de mil millones de veces solo en la última semana, lo que convierte este incidente en el ataque más grande registrado hasta ahora contra la cadena de suministro de NPM.

La magnitud de la propagación evidencia cómo la confianza depositada en librerías ampliamente utilizadas puede transformarse en un vector de ataque global.

Un ataque diseñado para robar criptomonedas

La carga maliciosa incluida en los paquetes tenía un propósito específico: redirigir fondos de los usuarios.
El código insertado sustituía en segundo plano las direcciones de destino de las transacciones, de modo que el usuario creía estar enviando fondos a una cuenta legítima cuando, en realidad, estaban siendo transferidos a una dirección controlada por los atacantes.

Este tipo de manipulación resulta especialmente crítico en el ámbito de las criptomonedas, ya que las operaciones firmadas no pueden revertirse. Según Charles Guillemet, CTO de Ledger, la amenaza es transversal y puede afectar a cualquier cadena de bloques, lo que aumenta la gravedad del caso y obliga a la comunidad a extremar precauciones.

Riesgos para carteras de hardware y software

Los riesgos varían en función del tipo de cartera utilizada:

  • Carteras hardware (Ledger, Trezor): ofrecen mayor protección, pero no son invulnerables. Los usuarios deben verificar minuciosamente cada detalle de la transacción antes de aprobarla en sus dispositivos, ya que esa revisión constituye la última línea de defensa.

  • Carteras software: se encuentran en mayor riesgo. Las transacciones pueden ser interceptadas y manipuladas sin que el usuario lo perciba. La recomendación inmediata es suspender operaciones on-chain hasta que el alcance del ataque quede esclarecido.

Un punto de incertidumbre es que aún no se ha confirmado si los atacantes también intentaron robar frases semilla, lo que, de comprobarse, incrementaría las consecuencias del incidente.

Una cadena de ataques en crecimiento

Este no es un hecho aislado, sino parte de una tendencia creciente durante 2025:

  • Julio: paquetes como got-fetch y eslint-config-prettier fueron comprometidos para distribuir malware que robaba información sensible.
  • Mayo: más de sesenta paquetes de NPM y extensiones de Visual Studio Code incorporaron código malicioso para recolectar direcciones IP, credenciales y datos de configuración.
  • Agosto: el framework Nx fue atacado con malware capaz de extraer tokens, llaves SSH y credenciales de GitHub, utilizando incluso inteligencia artificial para perfeccionar la fase de reconocimiento.

La continuidad de estos incidentes demuestra que los ataques contra la cadena de suministro ya no son esporádicos, sino un patrón recurrente que aprovecha la confianza que desarrolladores y usuarios depositan en proyectos de código abierto.

Estrategias de mitigación y respuesta

Las medidas inmediatas sugeridas son:

  • Usuarios de criptomonedas:

    • Limitarse al uso de carteras hardware.
    • Evitar operaciones con carteras software hasta confirmación oficial.
    • Verificar en detalle cada transacción antes de firmar.

  • Desarrolladores:

    • Auditar exhaustivamente dependencias utilizadas.
    • Confirmar que las versiones instaladas coincidan con las oficiales.
    • Implementar herramientas SCA y generar listas SBOM.
    • Reforzar autenticación de cuentas en NPM.

NPM ya ha deshabilitado los paquetes comprometidos, aunque aún trabaja en la recuperación de la cuenta afectada y en la redistribución de versiones seguras.

Conclusión

El ataque detectado representa uno de los episodios más graves en la historia de NPM y expone con claridad la fragilidad de la cadena de suministro en el desarrollo de software.

Con más de mil millones de descargas afectadas, la amenaza ha tenido un alcance global, poniendo en riesgo tanto a desarrolladores como a usuarios de criptomonedas. La incertidumbre sobre el posible robo de frases semilla aumenta la urgencia de mantener la cautela.

1

0

NEWSLETTER

¡Suscríbete!

Y entérate de las últimas novedades

Otras novedades que podrían interesarte

Guía para Empezar en Web3: Wallets, NFTs y Juegos con Recompensas | 30 ago 2025
Cómo enviar criptomonedas de Ripio a MetaMask | 12 jul 2025
Pizza Day: Gana una pizza en este día especial | 21 may 2025
Bienvenido RIOT a Web3 | 7 may 2025
Compound llega a Ronin: Nuevas oportunidades en DeFi. | 31 mar 2025

Etiquetas

npmseguridad en npmpaquetes maliciososcriptomonedasingeniería socialcadena de suministroataque a npmredirección de fondoscarteras hardwarecarteras softwarerobo de frases semillamalware en npmmitigación de ataquesauditoría de dependenciasautenticación en npmseguridad en criptomonedasincidentes de seguridad 2025

Únete a nuestra comunidad

La OLA del gaming más grande de Latam.

Aliarse con OLA GG
Sobre Ola GG
Términos y Condiciones
Política de Cookies
Política de Becas
Preguntas Frecuentes
Política de Privacidad
Soporte

© Ola GG. Todos los derechos reservados 2024.