Un escalofrío recorre la espina dorsal de la comunidad tecnológica y de criptomonedas, tras conocerse que, lo que comenzó como un pequeño fallo de compilación en un proyecto de software ha destapado una de las mayores y más sofisticadas amenazas en la historia de la ciberseguridad.
Una masiva cadena de suministro de npm, la columna vertebral del desarrollo Web moderno, con un total de 2 mil millones de descargas semanales, ha sido comprometida, con un hack colocado hábilmente en la cuenta de un solo desarrollador denominado qix: https://www.npmjs.com/~qix, que podría poner en peligros los fondos de miles de millones de billeteras en el mundo.
There’s a large-scale supply chain attack in progress: the NPM account of a reputable developer has been compromised. The affected packages have already been downloaded over 1 billion times, meaning the entire JavaScript ecosystem may be at risk.
The malicious payload works…
— Charles Guillemet (@P3b7_) September 8, 2025
Uno de los primeros en alertar lo que sucedía ha sido el director de tecnología (CTO) de Ledger, Charles Guillemet, el cual decidió emitir una grave advertencia en Substack, diciendo: “Hay un ataque a gran escala en progreso”. Aunque también en las comunidades de programadores, este caso está tomando un gran revuelo.
Este no es un ataque a un usuario individual o a una plataforma de intercambio. Es un asalto quirúrgico al corazón mismo de cómo se construye el software. Los atacantes comprometieron la cuenta de un desarrollador de alto perfil en npm, el registro de paquetes de Node.js, y publicaron versiones maliciosas de paquetes que son descargados miles de millones de veces cada semana.
La naturaleza ubicua de estos paquetes, identificados como “chalk” y “strip-ansi”, significa que el riesgo se ha extendido a un sinnúmero de proyectos de JavaScript en todo el mundo, desde pequeñas aplicaciones hasta infraestructuras críticas.
El arma utilizada en este asalto es un “crypto-clipper avanzado” o con esteroides como algunos lo definen, un tipo de malware diseñado para el robo silencioso de activos digitales con capacidades no sólo de sigilo sino también de sustitución de direcciones.
Básicamente, este malware opera con una astuta simplicidad, explotando un hábito común de los usuarios de criptomonedas: copiar y pegar la dirección de una billetera. Además, dentro de su simplicidad, este ataque se divide en dos fases letales: El Intercambio Pasivo de Direcciones y luego el Secuestro Activo de Transacciones.
El Intercambio Pasivo de Direcciones: Una vez instalado en el sistema de un desarrollador, el malware monitorea el portapapeles en busca de patrones que se asemejen a direcciones de criptomonedas.
Cuando encuentra una, no se limita a reemplazarla con una dirección aleatoria del atacante. En su lugar, utiliza un algoritmo de “distancia de Levenshtein” para buscar una dirección fraudulenta que sea visualmente similar a la original.
Esta táctica, digna de un espía, explota las limitaciones de la percepción humana, haciendo que el cambio sea casi imposible de detectar a simple vista. El usuario, confiado en que su dirección se ha copiado correctamente, envía sus fondos a una billetera que nunca fue la suya.
El Secuestro Activo de Transacciones: En este segundo paso, si el malware detecta la presencia de una billetera de software, como MetaMask, eleva su amenaza a un nuevo nivel. Parchea los métodos de comunicación de la billetera, interceptando una transacción antes de que sea enviada para su aprobación.
En este punto, concretamente el malware se encarga de reescribir la transacción en la memoria, cambiando el destinatario legítimo por una dirección manipulada o bajo el control del atacante que ya está dentro del código.
El usuario ve la transacción manipulada en su pantalla de confirmación y, a menos que verifique meticulosamente cada carácter, la firma, enviando sus fondos directamente a las arcas del atacante.
Este vector de ataque ha sido calificado como particularmente aterrador porque se salta la necesidad de que el usuario copie y pegue una dirección, y en su lugar manipula la transacción en el momento de su creación. El código fuente se puede analizar desde aquí.
Guillemet, tras realizar el respectivo análisis no ha dudado en lanzar una alerta a la comunidad. Aunque enfatizó que el malware no puede robar activos directamente de los monederos de hardware como los de su compañía, sí representa un riesgo masivo para los usuarios que confían en billeteras de software y que tienen sus claves privadas expuestas en sus sistemas.
“La realidad de los monederos de software es que sus claves privadas están expuestas en su computadora, un entorno inseguro por diseño”, explicó Guillemet. “Un ataque a la cadena de suministro como este solo subraya la importancia de usar una solución de custodia segura”.
Desde Territorio Bitcoin, tenemos algunas recomendaciones muy claras y urgentes para los desarrolladores y usuarios de criptomonedas:
- Verificar las Dependencias: Auditar los proyectos para asegurarse de que no se esté usando ninguna versión comprometida de los paquetes afectados.
- Fijar las Versiones: Utilizar la función overrides en el archivo package.json para forzar el uso de versiones seguras y conocidas de los paquetes vulnerables, sin importar las dependencias anidadas.
- Monitorear el Sistema: Estar alerta a cualquier comportamiento inusual. El malware fue descubierto por una falla de compilación, lo que demuestra que incluso los errores pueden ser una advertencia.
- Considerar una Solución de Custodia en Frío: Para los inversores y usuarios, la lección es dura: la única forma de proteger los activos de un malware de esta naturaleza es trasladarlos a un monedero de hardware. Al no tener las claves privadas en línea, se elimina el riesgo de robo por parte de los crypto-clippers.
Este incidente no es solo una llamada de atención para la seguridad en el desarrollo de software; es una demostración escalofriante de la vulnerabilidad de las billeteras virtuales. A medida que el ecosistema digital se vuelve más complejo e interconectado, la primera línea de defensa sigue siendo la vigilancia y la educación del usuario.
Aunque este malware, luce para algunos usuarios como una amenaza prácticamente invisible, deben entender que sus consecuencias pueden ser devastadoras para todo el ecosistema.