Se buscaba DOC, se obtuvo BTC: un nuevo paquete malicioso invade npm
Los desarrolladores ya han perdido cientos de miles sin siquiera saberlo.
Los ataques a la cadena de suministro de software se están volviendo cada vez más sofisticados: los atacantes camuflan código malicioso como bibliotecas útiles e lo insertan en los sistemas de los desarrolladores. Un ejemplo más es el paquete malicioso de npm llamado «pdf-to-office», descubierto por los investigadores de Reversing Labs, supuestamente diseñado para convertir documentos PDF en Word. En realidad, fue creado con un único propósito: reemplazar las carteras de criptomonedas de los usuarios de Atomic Wallet y Exodus.
Publicado el 24 de marzo de 2025, el paquete ya ha sido actualizado tres veces. La última versión, 1.1.2, apareció el 8 de abril y aún está disponible para su descarga. Ha sido descargado un total de 334 veces. Durante la instalación, verifica la existencia del archivo «app.asar» en el directorio de Atomic Wallet y luego incrusta código malicioso directamente en los componentes del programa de la cartera.
La particularidad del ataque radica en que si el código malicioso encuentra la versión correcta de Atomic Wallet (2.91.5 o 2.90.6), reemplaza uno de los archivos del archivo con uno modificado —con las mismas funciones, pero con una dirección de cartera codificada en Base64—. De este modo, al intentar enviar criptomonedas, la dirección del destinatario se cambia por la del atacante.
Lo mismo ocurre con Exodus, pero el ataque está dirigido únicamente a las versiones 25.13.3 y 25.9.2. El código malicioso reemplaza el archivo «index.js» en la interfaz de usuario de la cartera, tras lo cual el programa comienza a transferir fondos a una cuenta controlada por los atacantes.
Eliminar el paquete del sistema no elimina la amenaza. Los archivos modificados permanecen en las carteras de criptomonedas y siguen funcionando, incluso si el paquete npm infectado fue eliminado. La única forma de eliminar las consecuencias es desinstalar completamente el programa y reinstalarlo desde una fuente confiable.
La publicación de esta información es una continuación de una serie de revelaciones sobre la compromisión de herramientas para desarrolladores. Anteriormente, fueron detectados paquetes maliciosos de npm como ethers-provider2 y ethers-providerz, que infectaban bibliotecas locales y abrían acceso remoto mediante SSH.
Las extensiones para Visual Studio Code también representan una amenaza adicional. Investigadores de ExtensionTotal identificaron diez extensiones maliciosas que descargaban un script de PowerShell para desactivar la protección de Windows, creaban tareas programadas para mantener la persistencia y ejecutaban el minero XMRig. Entre estas extensiones había imitaciones de populares como Prettier, Solidity Compiler, ChatGPT Agent y otras.
El número total de instalaciones de estas extensiones superó el millón antes de ser eliminadas. Los atacantes incluso integraban versiones legítimas para no despertar sospechas y minar criptomonedas de forma encubierta mientras el usuario trabajaba normalmente.