Hackers explotan contratos de Ethereum para ocultar malware en paquetes npm

• El malware utiliza contratos de Ethereum para comandos ocultos
• Paquetes npm maliciosos explotan bibliotecas de código abierto
• La campaña falsa incluye bots de trading de criptomonedas

Un informe reciente de la firma de seguridad ReversingLabs reveló que los hackers están utilizando contratos inteligentes de Ethereum como parte de una nueva técnica para ocultar malware en paquetes npm. Este enfoque fue identificado en dos paquetes publicados en julio, llamados "colortoolsv2" y "mimelib2", que extraían instrucciones de comando y control directamente de contratos on-chain.

Según la investigadora Lucija Valentic, los paquetes ejecutaban scripts ofuscados que consultaban contratos de Ethereum para localizar la carga útil de la siguiente etapa de la infección. Este método reemplaza la práctica tradicional de insertar enlaces directamente en el código, lo que dificulta que los mantenedores de las bibliotecas detecten y eliminen el malware. "Esto es algo que nunca habíamos visto antes", dijo Valentic, destacando la sofisticación de la técnica y la rapidez con la que los actores de amenazas adaptan sus estrategias.

Además de utilizar contratos inteligentes, los atacantes crearon repositorios falsos en GitHub con temáticas de criptomonedas, como bots de trading, que mostraban una actividad artificialmente inflada. Estrellas falsas, commits automatizados y perfiles ficticios de mantenedores se usaron para engañar a los desarrolladores y hacer que confiaran en los paquetes e incluyeran estos en sus proyectos.

Aunque los paquetes identificados ya han sido eliminados tras un informe, ReversingLabs advirtió que el incidente forma parte de una campaña más amplia dirigida a comprometer los ecosistemas de npm y GitHub. Entre los repositorios falsos se encontraba "solana-trading-bot-v2", que presentaba miles de commits superficiales para ganar credibilidad mientras insertaba dependencias maliciosas.

Valentic explicó que la investigación reveló evidencia de un esfuerzo más amplio y coordinado dirigido a infiltrar código malicioso en bibliotecas ampliamente utilizadas por desarrolladores. "Estos ataques recientes por parte de actores de amenazas, incluyendo la creación de ataques sofisticados utilizando blockchain y GitHub, muestran que los ataques a repositorios están evolucionando", enfatizó.

La empresa también había identificado campañas previas que abusaban de la confianza de los desarrolladores en los paquetes de código abierto. Sin embargo, esta última campaña demuestra cómo la tecnología blockchain está siendo incorporada creativamente en esquemas de malware, aumentando la complejidad de la seguridad en el ecosistema de desarrollo de aplicaciones y proyectos relacionados con criptomonedas.