Según Charles Guillemet, “los paquetes comprometidos han sido descargados más de mil millones de veces, lo que implica un riesgo potencial para todo el ecosistema de JavaScript”. La carga maliciosa actúa al intercambiar de forma clandestina direcciones de criptomonedas, permitiendo el robo de fondos. Este es un problema serio que podría afectar a un gran número de usuarios.
Un ataque phishing pone en peligro las transacciones
De acuerdo con The Hacker News, el ataque se centró en Josh Junon (conocido como Qix), quien es el mantenedor de los paquetes de npm afectados. Recibió un email que suplantaba a npm, proveniente de una dirección que parecía totalmente oficial. Se trató de un ataque phishing clásico.
Los paquetes afectados, que puedes consultar en The Hacker News, son los siguientes:
ansi-regex@6.2.1
ansi-styles@6.2.2
backslash@0.2.1
chalk@5.6.1
chalk-template@1.1.1
color-convert@3.1.1
color-name@2.0.1
color-string@2.1.1
debug@4.4.2
error-ex@1.3.3
has-ansi@6.0.1
is-arrayish@0.3.3
proto-tinker-wc@1.8.7
supports-hyperlinks@4.1.1
simple-swizzle@0.2.3
slice-ansi@7.1.1
strip-ansi@7.1.1
supports-color@10.2.1
supports-hyperlinks@4.1.1
wrap-ansi@9.0.1
En ese correo, se le solicitaba que actualizara sus credenciales de autenticación de dos factores (2FA). Además, como es común en estos casos, le instaban a actuar rápidamente: debía hacerlo antes del 10 de septiembre de 2025, haciendo clic en el enlace que contenía el email. Puedes ver el mensaje que compartió Charles Guillemet en su perfil en X:
? Hay un ataque masivo a la cadena de suministro en curso: la cuenta NPM de un desarrollador reconocido ha sido comprometida. Los paquetes afectados han sido descargados más de mil millones de veces, lo que implica que todo el ecosistema JavaScript podría estar en riesgo.La carga maliciosa funciona
08 de septiembre, 2025 • 18:48
Josh Junon, a través de su cuenta en la red social Bluesky, ha confirmado que fue víctima de un ataque phishing que le pidió restablecer sus credenciales de 2FA, y se disculpa en su mensaje. Este caso demuestra que el phishing puede afectar a cualquier persona desprevenida que confíe en un mensaje recibido, ya sea por correo electrónico o redes sociales, resultando ser una trampa.
Sí, me han hackeado. El correo de restablecimiento de 2FA parecía muy legítimo. Solo NPM se ha visto afectado. He enviado un correo a @npmjs.bsky.social para ver si puedo recuperar el acceso. Lo siento a todos, debería haber prestado más atención. No es típico de mí; he tenido una semana estresante. Trabajaré para solucionar esto.
— Josh Junon (@bad-at-computer.bsky.social) 2025-09-08T15:15:45.497Z
Esto permitió a los atacantes publicar una versión falsa en el registro de npm, lo que indirectamente afecta a numerosos usuarios. Este malware está diseñado para interceptar solicitudes de transacciones de criptomonedas y sustituir la dirección de la billetera de destino por la de un atacante. Lo que un usuario envíe, podría terminar en manos equivocadas.
Desde Aikido, en una publicación del 8 de septiembre, han analizado los paquetes comprometidos y afirman que la carga útil actúa como un interceptor basado en navegador que secuestra el tráfico de red y las API de las aplicaciones para robar criptomonedas al reescribir solicitudes y respuestas.
Criptomonedas en riesgo
Como señala el usuario Btcandres 285 (@BtcAndres) en su cuenta de X, este ataque podría impactar todas las cadenas de Bitcoin y otras criptomonedas. npm es un gestor de paquetes utilizado en JavaScript, presente de manera predeterminada en muchos casos.
El CTO de Ledger menciona la posibilidad de un ataque masivo. Un breve hilo para entenderlo y cómo mitigar el riesgo.Traducción del tweet mencionado más abajo: “? Hay un ataque a gran escala en la cadena de suministro: la cuenta NPM de un desarrollador reconocido ha sido https://t.co/LPf2FVzI4F https://t.co/N6rB0VA5h6
08 de septiembre, 2025 • 21:21
Cualquier sitio web que utilice esta dependencia comprometida permite al ciberdelincuente la oportunidad de inyectar código malicioso. Por ejemplo, al hacer clic en el botón de “intercambiar” en un sitio web, esa transacción podría ser redirigida al atacante, ya que el código legítimo ha sido previamente sustituido.
Esto afecta a los sitios web que han instalado la actualización de los paquetes npm que están comprometidos. Las páginas que utilicen versiones más antiguas, sin este problema, permanecen a salvo. Esto limita considerablemente el impacto real, por lo que tus billeteras deberían estar seguras, salvo en casos específicos donde utilices una web afectada.
Por el momento, lo mejor es evitar intercambiar criptomonedas hasta que se resuelva este problema por completo. Minimiza el riesgo tanto como puedas. Usar una cartera física, conocida como hardware wallet, es una excelente opción para almacenar tus criptomonedas de manera segura.
Es crucial estar siempre alerta ante cualquier cambio inesperado en las direcciones de destino que se muestran en las interfaces web, especialmente si difieren de las direcciones usadas o guardadas anteriormente. El ataque descrito intercepta y modifica estas direcciones en tiempo real. La implementación conjunta de medidas preventivas por parte de desarrolladores y usuarios finales crea un ecosistema de seguridad más sólido que puede prevenir o mitigar futuros ataques similares en la infraestructura de paquetes JavaScript.
Preguntas frecuentes
¿Mis criptomonedas están en riesgo?
Tus criptomonedas solo estarían en riesgo si utilizas un sitio web que ha actualizado previamente con esos paquetes npm modificados e intercambias criptomonedas.
¿Qué debo hacer si recibo un correo que podría ser phishing?
Es esencial que no interactúes ni ingreses contraseñas o información personal a través de enlaces. Simplemente bórralo.
¿Este tipo de ataques phishing afecta a todos?
Los ataques phishing pueden dirigirse a empresas, marcas y personas de todo tipo. Los atacantes pueden ajustarse según el perfil de sus objetivos.
