Puntos clave de la Noticia
- Investigadores en ciberseguridad descubrieron que dos paquetes maliciosos de NPM, “colortoolsv2” y “mimelib2,” utilizaron contratos inteligentes de Ethereum para entregar malware oculto.
- Los atacantes disfrazaron su actividad como tráfico legítimo de blockchain, evadiendo los análisis de seguridad tradicionales.
- La campaña involucró repositorios falsos en GitHub y tácticas de ingeniería social, resaltando las amenazas crecientes en la cadena de suministro de software open-source y la necesidad de vigilancia constante por parte de los desarrolladores.
Especialistas en ciberseguridad de ReversingLabs revelaron que hackers están usando contratos inteligentes de Ethereum para ocultar malware, permitiendo que comandos maliciosos evadan la detección. El ataque utiliza dos paquetes subidos a Node Package Manager en julio, que descargan malware de segunda etapa desde URLs ocultas en contratos de Ethereum. Al incrustar comandos en la blockchain, los atacantes disfrazan actividades peligrosas como tráfico normal, dificultando el análisis de seguridad.
“Este método es único en el uso de contratos inteligentes para entregar malware”, dijo Lucija Valentić, investigadora de ReversingLabs. “Muestra cómo los atacantes evolucionan rápidamente para explotar repositorios de código abierto”.
Los paquetes parecían utilidades normales, pero en realidad descargaban malware. Formaban parte de una campaña de ingeniería social en GitHub, con repositorios falsos de bots de criptomonedas, cuentas inventadas y documentación pulida para parecer auténticos, aumentando la probabilidad de que desarrolladores importaran el malware sin saberlo.
El caso también muestra una tendencia creciente de combinar blockchain y ecosistemas de código abierto. Los hackers pueden distribuir comandos globalmente de forma anónima, lo que desafía las herramientas tradicionales de monitoreo centralizado. Los equipos de seguridad ahora deben revisar interacciones inusuales en la blockchain, verificar la integridad de todas las dependencias, usar herramientas heurísticas avanzadas, auditar continuamente y mantener inteligencia de amenazas en tiempo real.
Los Desarrolladores Enfrentan Mayores Riesgos por paquetes de Código Abierto Maliciosos
Ethereum se ha convertido en un nuevo frente para ataques a la cadena de suministro de software. En 2024 se registraron 23 campañas maliciosas relacionadas con criptomonedas, afectando repositorios de Solana, Bitcoinlib y otras tecnologías blockchain.
Antes, los atacantes usaban servicios confiables como GitHub Gists, Google Drive o OneDrive para alojar enlaces maliciosos. Ahora, los contratos inteligentes de Ethereum permiten camuflar malware dentro de actividades descentralizadas que parecen legítimas.
Se advierte a los desarrolladores que la popularidad de un paquete o la actividad de sus mantenedores puede ser falsa. Incluso paquetes simples pueden ocultar malware diseñado para robar credenciales de wallets o instalar mineros de criptomonedas. La vigilancia es clave, ya que los atacantes siguen integrando herramientas blockchain en estrategias sofisticadas de ciberataque, demostrando creatividad, persistencia y capacidad técnica.
