Un mantenedor de la cuenta de NPM ha sido comprometido a través de phishing, infectando bibliotecas importantes como chalk, strip-ansi y ansi-styles, utilizadas más de 2,6 mil millones de veces por semana.
Una amenaza a gran escala en la historia
Una cuenta de NPM comprometida, decenas de bibliotecas infectadas y más de 2,6 mil millones de descargas semanales afectadas: el ataque revelado el 8 de septiembre de 2025 (hora francesa) ya es calificado como el hackeo de la cadena de suministro más grave en la historia del desarrollo de software.
El desarrollador afectado, conocido bajo el seudónimo de qix, tuvo su cuenta de NPM tomada después de una sofisticada campaña de phishing. Los atacantes publicaron versiones engañosas de paquetes ultra populares como chalk, strip-ansi, color-convert o ansi-styles, todos ampliamente utilizados en el ecosistema JavaScript.
Cómo actúa el malware
El código malicioso inyectado en los archivos index.js actúa como un cripto-cliper avanzado. Una vez instalado a través de una dependencia comprometida, intercepta silenciosamente las interacciones en Web3:
- Vigilancia de direcciones Bitcoin, Ethereum, Solana, Tron, Litecoin o Bitcoin Cash.
- Sustitución en tiempo real de las direcciones de destino.
- Desvío de fondos a billeteras controladas por los atacantes.
Una amenaza directa para las criptomonedas
El impacto va más allá del mundo del desarrollo de software. La vulnerabilidad afecta directamente al universo cripto: cada transacción on-chain firmada desde un entorno infectado puede ser desviada.
Si usas un hardware wallet, verifica cada transacción antes de firmar y estarás protegido. Pero si usas una billetera de software, evita cualquier transacción on-chain por el momento.
En otras palabras, sin una billetera física, el riesgo es inminente. Algunos investigadores incluso temen que el malware pueda intentar robar semillas almacenadas en billeteras de software.
Qué hacer para protegerse
Los equipos de NPM y el desarrollador afectado están trabajando para limpiar las versiones infectadas. Pero el peligro sigue siendo real:
- Los proyectos que ya dependen de una versión comprometida deben ser auditados de inmediato.
- Los desarrolladores deben fijar sus dependencias en una versión conocida como segura (anulaciones en package.json).
- Los usuarios de criptomonedas deben ser más vigilantes y usar una billetera física para firmar cualquier transacción o incluso mejor: no firmar ninguna transacción por el momento.
Un ataque que deja rastros
Esta operación ocurre después de una serie de compromisos ya preocupantes en 2025: en marzo, diez bibliotecas de NPM se convirtieron en ladrones de datos; en julio, eslint-config-prettier sufrió el mismo destino. Pero esta vez, la magnitud es sin precedentes: más de mil millones de descargas acumuladas cada semana solo para las bibliotecas comprometidas.
La conclusión es clara: la seguridad de las cadenas de suministro de software se convierte en uno de los puntos más críticos de todo el ecosistema digital. Y en este caso específico, también se puso en juego la seguridad de miles de millones en criptomonedas.
CoinAcademy te recomienda que no firmes ninguna transacción de criptomonedas por ahora!
