Charles Guillemet, director de tecnología de Ledger, advierte sobre posibles ataques a la cadena de suministro tras evitar transacciones con criptomonedas

Se ha descubierto un ataque generalizado a la cadena de suministro, que podría tracdatos de una billetera de criptomonedas y robar activos en todas las cadenas. La biblioteca npm de una cuenta importante y confiable se ha visto comprometida, anunciaron investigadores. 

Un ataque generalizado a la cadena de suministro de npm podría estar dirigido contra los propietarios de las billeteras de criptomonedas más comunes. Charles Guillemet, director de tecnología de Ledger, advirtió a los usuarios que eviten realizar transacciones de criptomonedas con billeteras comunes de navegador o de escritorio, y que solo realicen transacciones a través de billeteras de hardware con mucha precaución. 

🚨 Se está produciendo un ataque a gran escala a la cadena de suministro: la cuenta NPM de un desarrollador de renombre se ha visto comprometida. Los paquetes afectados ya se han descargado más de mil millones de veces, lo que significa que todo el ecosistema JavaScript podría estar en riesgo.

La carga maliciosa funciona…

– Charles Guillemet (@P3b7_) 8 de septiembre de 2025

Los investigadores descubrieron que una de las cuentas npm de JavaScript de confianza difundía paquetes con código malicioso capaz de trace incluso desviar transacciones de criptomonedas. Poco después del ataque, el responsable contactó a la comunidad a través de un perfil de Hackernoon para advertir que los paquetes afectados seguían en su mayoría comprometidos y aún no se habían reemplazado por versiones seguras.

La cuenta del responsable del mantenimiento de npm aún no se ha recuperado y, muy probablemente, fue robada mediante ingeniería social y un proceso de autenticación de dos factores falso. Usuarios de GitHub reportaron un correo electrónico proveniente del soporte de npmjs. 

El evento actual se considera el mayor ataque a la cadena de suministro de npm de la historia. Más proveedores podrían verse comprometidos si los correos electrónicos logran robar otras cuentas.

Un ataque a gran escala a la cadena de suministro se dirige a las billeteras de criptomonedas de software

La semana pasada, Cryptopolitan informó sobre dos paquetes que fueron comprometidos para robar criptomonedas en Ethereum. 

El ataque actual es mucho mayor: afecta a un total de 18 paquetes npm muy populares, con 2 mil millones de descargas la semana pasada. Por el momento, no se sabe con certeza cuántos paquetes se han propagado por el ecosistema JavaScript. 

El ataque a la cadena de suministro se considera una de las mayores amenazas en el espacio criptográfico, ya que puede cambiar el destino de los fondos sobre la marcha, a pesar de que el usuario aparentemente firme la transacción correcta. 

tronencarecidamente no firmar ninguna transacción de criptomonedas en este momento.

Hay un gran ataque a la cadena de suministro sobre paquetes NPM populares que puede haber comprometido varios sitios web de criptomonedas (la interfaz, no lostracreales).

Cambia la dirección de destino de las transacciones y…

— cygaar (@0xCygaar) 8 de septiembre de 2025

Una vez más, la mayor amenaza se centra en los usuarios de monederos electrónicos, afectando supuestamente a MetaMask, Trust Wallet, Exodus y otros. Todos los paquetes npm se han deshabilitado, pero los desarrolladores deben volver a su código para descontinuar el uso de los paquetes defectuosos. 

Horas después del ataque, Axiom y Jupiter DEX confirmaron que no usaron ninguno de los paquetes npm defectuosos y que las operaciones pueden continuar. Kamino también informó que no ha implementado ningún código defectuoso.

Se insta a los usuarios a evitar firmar transacciones hasta que los desarrolladores den luz verde

Por ahora, se considera improbable que el atacante pueda robar semillas privadas directamente, ya que esto expondría problemas aún mayores de seguridad en las billeteras. Actualmente, las billeteras de los usuarios están seguras a menos que envíen o firmen una transacción. 

El intercambio de direcciones ocurre antes de firmar, ya que el atacante utiliza similares . Las direcciones parecen casi idénticas, lo que requiere una verificación detallada letra por letra antes de firmar. Normalmente, los usuarios de criptomonedas solo verifican los primeros y los últimos cuatro dígitos, lo que los expone a ataques de intercambio de direcciones. 

Sin embargo, también existentracinteligentes y transacciones automatizadas. Se recomienda a los usuarios finales bloquear y desactivar todas las billeteras del navegador y abstenerse de firmar transacciones. La noticia tampoco desglosó el repunte de las criptomonedas del lunes. Además, los investigadores en cadena no han advertido sobre pérdidas grandes o inusuales en billeteras individuales.

El ataque puede afectar a todas las aplicaciones del ecosistema Web3 y DeFi . Actualmente, las transacciones continúan en todas las cadenas. Los investigadores han tomado una captura de pantalla de las posibles billeteras, algunas de las cuales aún están vacías.