Paquetes npm con 2 mil millones de descargas semanales fueron hackeados en un ataque importante

Aikido Security detectó el mayor ataque npm jamás registrado, con 18 paquetes como chalk, debug y ansi-styles pirateados para secuestrar billeteras de criptomonedas a través de código inyectado.

Aikido Security ha detectado lo que podría ser el mayor ataque a la cadena de suministro de npm jamás registrado. La cuenta de un mantenedor de confianza, conocido como qix fue pirateada mediante un correo electrónico de phishing, y 18 paquetes populares fueron alterados con código malicioso. Estos paquetes incluyen chalk, debug y ansi-styles, que en conjunto representan más de dos mil millones de descargas semanales.

La buena noticia es que la detección fue lo suficientemente rápida como para limitar los daños. El investigador principal de malware de Aikido, Charlie Eriksen, afirmó que el ataque se identificó en cinco minutos y se divulgó en una hora.

Lo que hace que este incidente sea especialmente grave es el propósito del malware inyectado. En lugar de atacar entornos de desarrollo o servidores, el código está diseñado para interferir con las transacciones de criptomonedas en el navegador.

Según los investigadores, se conecta a MetaMask , Phantom y otras API de monederos, alterando los datos de las transacciones antes de que los usuarios firmen. La interfaz muestra el destinatario correcto, pero los fondos se redirigen a direcciones controladas por el atacante.

El malware también intercepta el tráfico de red y las llamadas a aplicaciones, reconoce formatos en Ethereum, Bitcoin, Solana, Tron, Litecoin y Bitcoin Cash, y los reescribe con direcciones similares convincentes. Dado que opera tanto a nivel de navegador como de API, puede hacer que las transferencias fraudulentas parezcan legítimas.

La lista completa de paquetes comprometidos es extensa, pero entre los más utilizados se encuentran chalk (300 millones de descargas semanales), debug (358 millones) y ansi-styles (371 millones). Otros proyectos afectados abarcan desde utilidades de bajo nivel como is-arrayish hasta bibliotecas de formato como strip-ansi.

Para muchos desarrolladores, estos paquetes son parte de la base de las aplicaciones JavaScript de uso cotidiano, lo que significa que las versiones maliciosas ya podrían estar ejecutándose en sistemas de producción en todo el mundo.

El mantenedor confirmó en Bluesky que su cuenta fue interceptada tras recibir un correo electrónico de phishing de " [email protected] ". Para cuando empezó a eliminar los paquetes infectados, perdió el acceso a su cuenta. Algunos paquetes, como simple-swizzle, siguen comprometidos desde la última actualización.

El análisis de Aikido, compartido con Hackread.com, muestra que el código es altamente intrusivo y modifica funciones como fetch , XMLHttpRequest y métodos de la API de billetera. Altera las cargas útiles de las transacciones, las aprobaciones e incluso el flujo de firma de Solana, redirigiendo activos sin el conocimiento del usuario. En la práctica, esto significa que un desarrollador que actualice uno de estos paquetes podría estar exponiendo a los usuarios al secuestro de billeteras al interactuar con aplicaciones Web3 .

Por ahora, se recomienda a los desarrolladores que vuelvan a versiones seguras conocidas, auditen las actualizaciones recientes de los paquetes y supervisen de cerca las transacciones si sus aplicaciones interactúan con monederos de criptomonedas. La situación sigue activa y Aikido publica actualizaciones en tiempo real en su blog oficial .