Ataque a la cadena de suministro en NPM: 1.070 millones de descargas

Ataque a la cadena de suministro en NPM: 1.07 mil millones de descargas afecta a utilidades del ecosistema ampliamente utilizadas en proyectos JavaScript y aplicaciones web criptográficas. Como resultado, la carga útil actúa como un cripto-clipper, interceptando respuestas web y transacciones de monedero y sustituyendo direcciones.

Banner de Weex

Escala y superficie de ataque

El informe detalla todo el código malicioso y sus características. Esencialmente, estamos ante una amenaza de un tamaño sin precedentes, ya que las compilaciones maliciosas se publicaron a propósito para utilidades fundamentales que se encuentran en lo más profundo de los árboles de dependencias de los proyectos web. No se trata de bibliotecas de nicho, sino de bloques de construcción extremadamente populares de los que dependen de forma transitoria casi todos los procesos de compilación frontend y backend modernos. Entre ellas

• chalk, con unos 300 millones de descargas semanales

• strip-ansi, con unos 261 millones

• color-convert, con unos 193 millones

• color-name con unos 191 millones

• is-core-module con unos 69 millones

• error-ex con cerca de 47 millones

• has-ansi con alrededor de 12 millones

Mecánica de la carga útil: Sustitución pasiva de direcciones e interceptación activa de transacciones

En el primer paso, comprueba la presencia de window.ethereum, lo que significa la presencia de extensiones de monedero como MetaMask. Si no hay ninguna, hay un vector pasivo: el script parchea el fetch nativo y el XMLHttpRequest, intercepta todas las respuestas web y escanea el texto con expresiones regulares en busca de direcciones criptográficas de Bitcoin, Ethereum, Solana, Tron, Litecoin y Bitcoin Cash.

Al encontrar una dirección, el código comprueba si pertenece al atacante o, en caso contrario, selecciona la "más similar" de la lista predefinida por el atacante utilizando la distancia Levenshtein y sustituye el contenido de la respuesta sobre la marcha. Esto aumenta significativamente el sigilo para el usuario: la dirección se acerca visualmente a la original, y la sustitución se produce en la capa de red antes de que la interfaz acceda a los datos.

Si se detecta un monedero, existe un vector aún más peligroso. Las funciones de petición/envío del monedero están parcheadas para interceptar los datos de la transacción antes de firmar. Al invocar algo como eth_sendTransaction, la carga útil modifica los campos de destino en memoria, insertando una dirección de atacante estrictamente codificada. El escenario resultante es particularmente insidioso para los controles desatentos: el usuario puede ver la dirección correcta en la interfaz de usuario, pero firma una transacción con un destinatario sustituido, y los fondos van a parar al atacante.

Cabe destacar que, en la lógica de la sustitución pasiva, existe una medida de ocultación adicional para Ethereum: si un monedero está activo, las direcciones ETH no se reescriben por esta vía, lo que reduce el riesgo de que se produzca un desajuste notable cuando el escenario activo opera simultáneamente.

Entre las direcciones implicadas en Ethereum, 0xFc4a4858bafef54D1b17697bfb5c52F4c166976. A nivel de artefactos de código, llaman la atención nombres de funciones como _0x20669a, responsable del intercambiador de direcciones, y runmask, que inicia la interceptación de métodos de wallet, lo que puede simplificar la detección en el análisis retrospectivo de builds.

Conclusión

Una situación muy ilustrativa - incluso una pequeña biblioteca en un nodo del árbol de dependencias puede convertirse en un punto de entrada para un compromiso de todo el ecosistema. Esto requiere un inventario fundamental de dependencias y tuberías de compilación, utilizando npm ci para compilaciones reproducibles y fijando temporalmente versiones seguras conocidas de paquetes transitivos.

De lo contrario, hasta que los principales actores de la criptografía anuncien la verificación y las actualizaciones, es mejor no realizar ninguna transacción. Permanece atento y entérate de las últimas actualizaciones en la industria de las criptomonedas y blockchain.