Una nueva campaña maliciosa ha sido descubierta, dirigida a desarrolladores a través de paquetes npm y repositorios en GitHub, utilizando una táctica poco común: ocultar la infraestructura de comando y control (C2) dentro de contratos inteligentes de Ethereum.

El ataque fue detectado por primera vez a inicios de julio, cuando el investigador de ReversingLabs, Karlo Zanki, identificó un paquete sospechoso llamado “colortoolsv2” en npm. Aunque fue eliminado rápidamente, los atacantes intentaron continuar la operación publicando un clon casi idéntico llamado “mimelib2.” Ambos paquetes utilizaron mecanismos basados en blockchain para desplegar una segunda carga maliciosa.

Una técnica de evasión novedosa

Si bien los descargadores maliciosos en npm no son nuevos, normalmente incluyen URLs o scripts incrustados directamente en el paquete. En este caso, los atacantes aprovecharon los contratos inteligentes de Ethereum para almacenar y distribuir las direcciones desde donde se obtenía el malware.

Este método complica enormemente la detección, ya que la infraestructura maliciosa no se encuentra en el código del paquete, sino oculta dentro de la blockchain.

“Aunque los descargadores se publican semanalmente, este uso de contratos inteligentes para cargar comandos maliciosos es algo que no habíamos visto antes”, explicaron los investigadores de ReversingLabs.
“Esto demuestra la rápida evolución de las estrategias de evasión por parte de actores que explotan repositorios de código abierto y desarrolladores.”

Repositorios falsos en GitHub disfrazados de herramientas cripto

La investigación también reveló que los paquetes maliciosos estaban vinculados a una campaña más amplia en GitHub. Los atacantes crearon repositorios falsos presentados como bots de trading de criptomonedas, que aparentaban legitimidad con miles de commits, múltiples mantenedores y seguidores activos.

Sin embargo, gran parte de esta actividad era fraudulenta:

• Las estrellas y seguidores provenían de cuentas creadas en julio con mínima actividad.
• Se usaron cuentas títere como supuestos mantenedores para aumentar credibilidad.
• Los commits y forks fueron inflados artificialmente para dar la impresión de popularidad.

Un ejemplo destacado fue el repositorio llamado “solana-trading-bot-v2”, que incluía el paquete npm malicioso. Aunque aparentaba ser un proyecto serio, un análisis más profundo reveló la red de cuentas falsas que lo respaldaban.

Amenaza creciente para el código abierto

Este hallazgo se suma a la lista creciente de ataques a la cadena de suministro de software dirigidos a desarrolladores vinculados al ecosistema cripto.

Según el informe 2025 de Seguridad en la Cadena de Suministro de Software de ReversingLabs, se identificaron 23 campañas similares en 2024, incluyendo la manipulación del paquete ultralytics en PyPI en diciembre, que fue comprometido para instalar un coin miner.

Estos incidentes reflejan la sofisticación creciente de los atacantes, quienes ahora combinan la manipulación de repositorios de código abierto con técnicas de evasión basadas en blockchain.

Los expertos recomiendan que los desarrolladores:

• Verifiquen cuidadosamente las bibliotecas, paquetes y mantenedores
• No se basen únicamente en métricas superficiales como estrellas, commits o descargas
• Implementen herramientas más robustas de evaluación de paquetes para proteger proyectos y activos digitales

El informe concluye que solo mediante una mayor vigilancia y defensas proactivas será posible mitigar los riesgos de estas amenazas cada vez más avanzadas en la cadena de suministro.

Fuente: https://www.infosecurity-magazine.com/news/malicious-npm-packages-exploit