El compromiso de la cadena de suministro de NPM podría exponer fondos cripto a malware de intercambio de direcciones, según el CTO de Ledger

Coinotag2025/09/08 21:25

Show original

By:Marisol Navaro

Bitget offers one-stop trading for cryptocurrencies, stocks, and gold. Trade now!

A welcome pack worth 6200 USDT for new users! Sign up now!

La explotación de la cadena de suministro de NPM es una vulneración a gran escala de paquetes JavaScript reputados que puede intercambiar silenciosamente direcciones cripto durante transacciones y robar fondos. Los usuarios deben evitar firmar transacciones, auditar los paquetes integrados y actualizar o eliminar los módulos afectados de inmediato para reducir la exposición.

El intercambio malicioso de direcciones en monederos web apunta a transacciones cripto.
Los paquetes comprometidos incluyen módulos NPM ampliamente utilizados como “color-name” y “color-string”.
Los paquetes afectados han sido descargados más de 1.1 billions de veces, aumentando la exposición cross-chain.

Explotación de la cadena de suministro de NPM: DEJE de firmar transacciones ahora—verifique los paquetes y asegure sus monederos. Conozca los pasos de protección inmediatos.

¿Qué es la explotación de la cadena de suministro de NPM?

La explotación de la cadena de suministro de NPM es una vulneración de cuentas de desarrolladores reputados que inyecta una carga maliciosa en paquetes JavaScript. Esta carga puede intercambiar silenciosamente direcciones de criptomonedas en monederos web y dApps, poniendo en riesgo fondos a través de múltiples cadenas.

¿Cómo se comprometieron los paquetes JavaScript?

Investigadores de seguridad y expertos de la industria informaron que una cuenta de desarrollador reputada en NPM fue vulnerada, permitiendo a los atacantes publicar actualizaciones contaminadas. El código malicioso está diseñado para ejecutarse en contextos de navegador utilizados por sitios web cripto y puede cambiar direcciones de destino en el momento de la transacción.

¿Qué paquetes y componentes están afectados?

Firmas de seguridad blockchain identificaron alrededor de dos docenas de paquetes NPM populares afectados, incluyendo pequeños módulos utilitarios como “color-name” y “color-string”. Debido a que NPM es un gestor central de paquetes para JavaScript, muchos sitios web y proyectos front-end obtienen estas dependencias de manera transitiva.

Resumen del riesgo reportado por paquete Paquete Descargas reportadas Nivel de riesgo

color-name	Cientos de millones	Alto
color-string	Cientos de millones	Alto
Otros módulos utilitarios (colectivo)	Más de 1.1 billions en total	Crítico

¿Cómo pueden los usuarios cripto proteger sus fondos ahora mismo?

Pasos inmediatos: deje de firmar transacciones en monederos web, desconecte los monederos del navegador de las dApps y evite interactuar con sitios que dependan de JavaScript no verificado. Valide la integridad de los paquetes en entornos de desarrollo y aplique reglas estrictas de Content Security Policy (CSP) en los sitios que controle.

¿Qué precauciones deben tomar los desarrolladores?

Los desarrolladores deben fijar las versiones de las dependencias, verificar las firmas de los paquetes cuando estén disponibles, ejecutar herramientas de escaneo de la cadena de suministro y auditar las actualizaciones recientes de los paquetes. Volver a versiones conocidas como seguras y reconstruir desde lockfiles puede reducir la exposición. Utilice builds reproducibles y verificación independiente para bibliotecas front-end críticas.

Preguntas frecuentes

¿Qué tan inminente es la amenaza para los usuarios cripto cotidianos?

La amenaza es inmediata para los usuarios que interactúan con monederos web o dApps que cargan JavaScript desde paquetes públicos. Si un sitio depende de los módulos contaminados, el código de intercambio de direcciones puede ejecutarse en el navegador durante los flujos de transacción.

¿Quién identificó la vulneración y qué dijeron?

El CTO de Ledger, Charles Guillemet, señaló públicamente el problema, destacando la escala y el mecanismo de intercambio de direcciones. Firmas de seguridad blockchain también reportaron los módulos afectados. Estas observaciones provienen de publicaciones públicas y avisos de seguridad reportados por expertos de la industria.

Puntos clave

Deje de firmar transacciones: Evite firmar en monederos web hasta que los paquetes sean verificados.
Audite las dependencias: Los desarrolladores deben fijar, firmar y escanear los paquetes NPM utilizados en el código front-end.
Utilice medidas defensivas: Desconecte los monederos, limpie las sesiones y emplee CSP y herramientas de escaneo de la cadena de suministro.

Conclusión

La explotación de la cadena de suministro de NPM demuestra cómo pequeños paquetes utilitarios pueden suponer un riesgo sistémico para los usuarios cripto al permitir la sustitución silenciosa de direcciones. Mantenga una postura defensiva: deje de firmar transacciones, audite las dependencias y siga los avisos verificados. COINOTAG actualizará este informe a medida que se publiquen más detalles técnicos confirmados y soluciones (publicado el 2025-09-08).

En caso de que se lo haya perdido: los flujos de Ethereum ETF y el interés abierto de CME podrían señalar la maduración del mercado y un posible resurgimiento de la demanda

Disclaimer: The content of this article solely reflects the author's opinion and does not represent the platform in any capacity. This article is not intended to serve as a reference for making investment decisions.

PoolX: Haz staking y gana nuevos tokens.

APR de hasta 12%. Gana más airdrop bloqueando más.

¡Bloquea ahora!