Microsoft ha advertido que los atacantes escondieron malware para robar criptomonedas dentro de paquetes npm públicos, creando un nuevo riesgo para desarrolladores, inversores en criptomonedas y usuarios de billeteras.
Microsoft Threat Intelligence declaró que dos paquetes npm comprometidos, [email protected] y [email protected], estaban “abusando de los repositorios de Hugging Face como infraestructura de exfiltración”. La compañía dijo que los paquetes despliegan un troyano de acceso remoto, o RAT, que puede recopilar pulsaciones de teclas, capturas de pantalla y credenciales de billeteras de criptomonedas.
Npm es un registro de software público utilizado por los desarrolladores de JavaScript para construir aplicaciones y herramientas web. Cuando un desarrollador instala un paquete envenenado, el malware puede ejecutarse silenciosamente en el dispositivo y buscar archivos sensibles, contraseñas o datos de la billetera.
La campaña se destaca porque los atacantes utilizaron Hugging Face, una plataforma confiable para proyectos de inteligencia artificial y aprendizaje automático, para mover los datos robados. Esa ruta puede hacer que el tráfico parezca menos sospechoso que un enlace directo a un servidor criminal desconocido.
Para los usuarios de criptomonedas, esto crea una preocupación directa de seguridad. Una máquina de desarrollador puede almacenar billeteras de navegador, claves privadas, archivos de frases semilla, claves API de intercambio, tokens de GitHub e inicios de sesión en la nube. Si los atacantes recopilan esos detalles, pueden apuntar a billeteras, repositorios de código y sistemas de trading.
La cobertura relacionada de crypto.news muestra que los ataques a la cadena de suministro de software siguen siendo un problema actual para el sector cripto. Un informe del 25 de mayo dijo que la campaña de malware TrapDoor se extendió a través de más de 34 paquetes maliciosos en los ecosistemas de npm, PyPI y Rust.
Esa campaña apuntó a desarrolladores de criptomonedas e IA robando datos de billeteras, claves API, credenciales en la nube y acceso SSH a través de herramientas de desarrollador falsas. También mostró cómo los atacantes ahora se dirigen a las personas y sistemas utilizados para construir aplicaciones cripto, no solo a los usuarios finales.
Crypto.news también informó en marzo que Slow Fog había advertido a los desarrolladores sobre versiones maliciosas de Axios. Las versiones envenenadas incorporaron el malware plain-crypto-js y expusieron a los desarrolladores de criptomonedas a RAT multiplataforma y credenciales robadas a través de npm.
La advertencia de Microsoft sigue a otro informe de malware de sus equipos de seguridad. El 26 de mayo, Microsoft dijo que los atacantes utilizaron resultados de búsqueda envenenados y algunas interacciones de chatbots de IA para difundir descargas falsas de utilidades para PC que instalaban malware de minería de GPU.
Esa campaña apuntó a usuarios con tarjetas gráficas potentes, incluidos jugadores y entusiastas del hardware. Microsoft dijo que el malware abusó de ScreenConnect, utilidades de Microsoft .NET y descargas falsas de herramientas como CrystalDiskInfo y HWMonitor para ejecutar mineros de criptomonedas.
La última advertencia de npm mantiene la atención en los pasos de seguridad básicos. Los desarrolladores deben auditar las instalaciones de paquetes recientes, eliminar dependencias sospechosas, rotar las credenciales expuestas y verificar la actividad de la billetera. Los usuarios de criptomonedas deben evitar almacenar frases semilla en dispositivos conectados y verificar cada transacción de billetera antes de firmar.
