Un ataque dirigido está afectando al ecosistema JavaScript a través de módulos NPM muy utilizados. Al comprometer la cuenta de un desarrollador de renombre, los atacantes inyectan un malware capaz de modificar las direcciones de recepción criptográfica sobre la marcha, lo que expone a los usuarios a un alto riesgo de robo durante las transacciones en cadena.
¿Qué está pasando? Un malware desvía sus direcciones criptográficas
Un ataque a la cadena de suministro, es decir, a los componentes, bibliotecas, herramientas y servicios utilizados por los desarrolladores, de una magnitud sin precedentes está afectando actualmente a todo el ecosistema JavaScript y, por extensión, al de las criptomonedas.
De hecho, la cuenta NPM del desarrollador «qix», responsable del mantenimiento de numerosas bibliotecas populares, ha sido recientemente comprometida.
El resultado: se han publicado versiones maliciosas de paquetes (pequeños módulos de código reutilizables) muy utilizados como «chalk», «strip-ansi», «color-convert», «error-ex» o «is-core-module».
Con varios cientos de millones de descargas semanales acumuladas, estos paquetes estarían ahora muy extendidos en el ecosistema Node.js, afectando a miles de proyectos.
🚨 Se está produciendo un ataque a gran escala a la cadena de suministro: la cuenta NPM de un desarrollador de renombre ha sido comprometida. Los paquetes afectados ya se han descargado más de mil millones de veces, lo que significa que todo el ecosistema JavaScript puede estar en peligro.
La carga maliciosa funciona…
— Charles Guillemet (@P3b7_) 8 de septiembre de 2025
Aunque a primera vista la situación parece catastrófica, este ataque solo afecta a los sitios web que han publicado una actualización después de que se comprometiera el paquete NPM en cuestión. Los proyectos que aún no han realizado la actualización siguen utilizando la versión anterior no comprometida.
El malware inyectado sería un sofisticado «cripto-clipper»:
- Intercepta tus solicitudes de red y tus transacciones en criptomonedas;
- Detecta las direcciones de Bitcoin, Ethereum, Solana, etc. en los datos,
- Y las sustituye discretamente por las direcciones del atacante.
Esto significa que, aunque creas que estás enviando fondos a una dirección legítima, el malware puede modificarla en tu navegador o teléfono en el último momento.
El código opera en varios niveles: manipula tanto el contenido que se muestra en los sitios web como las respuestas de las API y lo que sus aplicaciones creen que están firmando. Esto hace que el ataque sea especialmente peligroso para aquellos que no utilizan carteras de hardware (hardware wallet).
¿Cómo protegerse?
Si utiliza una cartera de hardware (Ledger, Trezor, etc.): estará protegido siempre que compruebe cuidadosamente que la dirección que aparece en la pantalla de la cartera (y no en su teléfono o ordenador) es la correcta antes de firmar.
Si utiliza un monedero de software o incluso interactúa con contratos inteligentes: suspenda inmediatamente cualquier transacción en cadena.
Es mejor esperar a que la situación vuelva a estar bajo control para reanudar su actividad
Un socio de SwissBorg acaba de sufrir un incidente que ha provocado la pérdida de 193 000 SOL
Aunque aún no podemos saber si estas dos historias están relacionadas, la plataforma de intercambio SwissBorg ha declarado recientemente haber identificado una falla relacionada con la API de su socio Kiln, que ha afectado a su programa «SOL Earn» en aproximadamente 193 000 SOL, es decir, menos del 1 % de sus usuarios.
Según la empresa, la aplicación sigue siendo segura y utilizable. SwissBorg movilizó inmediatamente su tesorería en SOL para compensar las pérdidas y ya habría comenzado a trabajar con expertos en ciberseguridad para recuperar los fondos robados. Se espera que los usuarios afectados sean contactados por correo electrónico en breve.
