El mayor hackeo en la cadena de suministro de software en la historia ha sacudido todo el ecosistema de JavaScript y criptomonedas. Miles de descargas infectadas, carteras de Ethereum y Solana apuntadas, desarrolladores obligados a reaccionar con urgencia. Y, sin embargo: al final, el atacante solo logró… unos pocos centavos de ether y un puñado de memecoins ilíquidos.
¿Cómo tomó forma el hackeo a NPM?
Todo comenzó con un simple correo electrónico de phishing. El desarrollador maintainer “qix“, creador de bibliotecas importantes como chalk o debug-js, tuvo sus credenciales de NPM robadas. Con acceso total, el atacante republicó versiones corruptas de todos sus paquetes, descargados miles de millones de veces por semana.
El código malicioso era astuto: verificaba la presencia de window.ethereum en el navegador e interceptaba funciones clave de los monederos como approve o transfer. Como resultado, las transacciones se redirigían a una única dirección de Ethereum. En Solana, las transferencias estaban directamente rotas, reemplazadas por cadenas inválidas.
Aún más insidioso, el malware escudriñaba las solicitudes de red en busca de direcciones cripto y las reemplazaba por 280 variantes visualmente similares. Un verdadero “crypto-clipper” de nueva generación.
Una montaña por un ratón
A pesar de esta sofisticación, las ganancias son ridiculas: cinco centavos de ETH y aproximadamente 20 dólares de un memecoin oscuro. El informe publicado el martes por Security Alliance confirma que el atacante se fue prácticamente con las manos vacías.
Pero la historia no termina ahí. Detrás de esta aparente debilidad, otro costo se impone: el de la limpieza. Los equipos de seguridad deben auditar, corregir, actualizar. Cada backend dependiente de las bibliotecas comprometidas debe ser revisado, y esa factura se traduce en millones.
Las reacciones del ecosistema cripto
Ledger, a través de su CTO Charles Guillemet, recordó que los paquetes infectados sumaban más de mil millones de descargas y que estaban diseñados para reemplazar las direcciones en las transacciones de forma indetectable. Una advertencia clara: la amenaza era seria, aunque los beneficios financieros no lo reflejen.
MetaMask, Rabby, Phantom: los monederos y aplicaciones principales tranquilizaron rápidamente a su base de usuarios: la gran mayoría del ecosistema no se ve afectado. Pero la desconfianza sigue presente para aquellos que utilizan entornos no protegidos.
El verdadero desafío
Este hackeo es un recordatorio brutal: la vulnerabilidad no reside solo en las blockchains, sino también en las herramientas que utilizamos para que funcionen. Un correo electrónico engañoso puede ser suficiente para comprometer miles de millones de descargas y poner en peligro todo el ecosistema cripto.
En septiembre de 2025, cuando todavía es difícil atraer a los ‘normies’, la conclusión es clara: incluso cuando los hackers se van casi con las manos vacías, la factura para la comunidad es gigantesca. Y la confianza tardará en recuperarse.
