Sorpresa para la comunidad cripto: el popular SDK Velora cobra vida propia y abre la puerta a los hackers
Parece que ni siquiera una reputación intachable garantiza que los datos sobrevivan.
Los desarrolladores de servicios criptográficos se encontraron con una desagradable sorpresa: uno de los lanzamientos del paquete popular para trabajar con el intercambio descentralizado Velora resultó infectado. El problema no afectó a toda la línea, sino solo a una versión, pero incluso ese ataque puntual podría haber abierto a los atacantes el acceso a sistemas y secretos ajenos.
Se trata del paquete @velora-dex/sdk versión 9.4.1. Especialistas descubrieron que al importar la biblioteca se activaba un fragmento de código oculto que, sin el conocimiento del usuario, descargaba desde un servidor remoto un script shell y lo ejecutaba en el sistema. El comando estaba enmascarado mediante base64 y su salida se enviaba al vacío para no llamar la atención.
El análisis mostró que el código peligroso estaba solo en el lanzamiento 9.4.1. Versiones anteriores, incluyendo las ramas 9.1.x, 9.2.x, 9.3.x y el lanzamiento 9.4.0, resultaron limpias. Tampoco se encontró carga maliciosa en las compilaciones de prueba 9.4.1-dev.1 y 9.4.1-dev.2. Ya en la versión 9.4.2 se eliminó el fragmento malicioso.
Según los autores del informe, el esquema de ataque se asemeja más a una intervención en el proceso de compilación o publicación que a un hackeo del repositorio original. Ese escenario explica por qué solo se infectó un lanzamiento, mientras que las versiones adyacentes no resultaron afectadas. Entre las posibles causas se mencionan la compromisión de las canalizaciones de CI/CD, de tokens de publicación o de la cuenta del mantenedor.
Tras su ejecución, la biblioteca contactaba mediante HTTP a la dirección 89.36.224.5 e intentaba descargar el archivo install.sh en la ruta /troubleshoot/mac/. Con ese acceso, los atacantes podían ejecutar comandos arbitrarios con los privilegios del proceso Node.js. Para desarrolladores y equipos de mantenimiento de aplicaciones el riesgo es especialmente alto: podrían verse comprometidas variables de entorno, claves API, credenciales, claves privadas de monederos cripto y artefactos de compilación.
Los autores del análisis aconsejan a todos los que usaron @velora-dex/sdk 9.4.1 considerar su entorno potencialmente comprometido. Como opción segura recomiendan actualizar, como mínimo, a la 9.4.2, además de revisar la actividad de red, los procesos y los secretos que pudieron filtrarse durante la ejecución del paquete infectado. Recomiendan prestar atención especial a las canalizaciones de CI/CD y a las dependencias relacionadas con la infraestructura de criptomonedas.