Un hacker ataca a desarrolladores de ETH y SOL mediante paquetes npm con errores tipográficos

Cryptopolitan27 de mar de 2026 11:30

Los desarrolladores Ethereum y Solana fueron blanco de cinco paquetes npm maliciosos que robaban claves privadas y las enviaban al atacante. Estos paquetes se basan en el typosquatting, imitando bibliotecas criptográficas legítimas.

Investigadores de seguridad de Socket descubrieron cinco paquetes npm maliciosos publicados bajo una misma cuenta. La campaña maliciosa abarca los ecosistemas Ethereum y Solana , con una infraestructura activa de comando y control (C2).

Uno de los paquetes fue despublicado en cinco minutos, pero ocultó su código y envió datos robados al atacante.

Los hackers atacan a los desarrolladores Ethereum y Solana

Los ciberdelincuentes no solo atacan a los inversores minoristas y a las personas mayores. Recurren a tácticas de ingeniería social y al typosquatting para engañar a los desarrolladores y robarles sus criptomonedas.

El typosquatting es una táctica en la que los atacantes crean paquetes falsos con nombres similares a los de bibliotecas populares. Los desarrolladores pueden instalardentestos paquetes maliciosos, creyendo que son legítimos.

La función de los paquetes maliciosos es desviar las claves a un bot de Telegram programado de forma predeterminada.

El ataque malicioso de npm funciona interceptando funciones que los desarrolladores utilizan para pasar claves privadas. Cuando se llama a una función, el paquete envía la clave al bot de Telegram del atacante antes de devolver el resultado esperado. Esto hace que el ataque sea invisible para los desarrolladores que no están al tanto.

Según los investigadores de seguridad, cuatro paquetes están dirigidos a los desarrolladores Solana , mientras que uno está dirigido a los desarrolladores Ethereum .

Los desarrolladores de Solanay Ethereum fueron atacados por paquetes npm con errores tipográficos. — Paquetes npm maliciosos frente a bibliotecas criptográficas legítimas. Fuente: Socket .

Los cuatro paquetes dirigidos a Solana interceptan las llamadas a Base58 decode(), mientras que el paquete ethersproject-wallet se dirige al constructor Ethereum Wallet.

Todos los paquetes maliciosos dependen de la función global fetch, que requiere Node.js 18 o posterior. En versiones anteriores, la solicitud falla silenciosamente y no se roba ningún dato.

Todos los paquetes envían datos al mismo de Telegram . El token del bot y el ID del chat están codificados en cada paquete, y no hay ningún servidor externo, por lo que el canal funciona mientras el bot de Telegram permanezca en línea.

El paquete raydium-bs58 es el más sencillo. Modifica una función de decodificación y envía la clave antes de devolver el resultado. El archivo README se copió de un SDK legítimo y el campo de autor está vacío.

El segundo paquete Solana , base-x-64, oculta la carga útil mediante ofuscación. Esta carga útil envía un mensaje a Telegram con la clave robada.

El paquete bs58-basic no contiene código malicioso en sí mismo, pero depende de base-x-64 y transmite la carga útil a través de la cadena.

El paquete Ethereum , ethersproject-wallet, copia una biblioteca legítima, @ethersproject/wallet. El paquete malicioso inserta una línea adicional después de la compilación. El cambio solo aparece en el archivo compilado, lo que confirma la manipulación manual.

Todos los paquetes comparten el mismo punto final de comando, errores tipográficos y artefactos de compilación. Dos paquetes utilizan archivos compiladosdent. Otro paquete depende directamente del otro. Estos enlaces apuntan a un único actor que utiliza el mismo flujo de trabajo.

Investigadores de seguridad han enviado solicitudes de eliminación a npm. Las claves privadas perdidas en este ataque están comprometidas y los fondos asociados deben transferirse rápidamente a una nueva billetera.

Los hackers siguen atacando a los desarrolladores de criptomonedas. Según Cryptopolitan , lograron infectar a 178 desarrolladores mediante un instalador falso de OpenClaw. Este instalador falso, apodado GhostClaw , estuvo registrado en el directorio npm durante un tiempo antes de ser eliminado. Su objetivo era robar claves privadas, frases semilla y otros datos confidenciales.

Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete !

Descargo de responsabilidad: La información proporcionada en este sitio web es solo para fines educativos e informativos, y no debe considerarse como asesoramiento financiero o de inversión.