Investigadores de ciberseguridad han expuesto operaciones de malware dirigidas a titulares de criptomonedas Ethereum, XRP y Solana. La amenaza ataca a los propietarios de billeteras Atomic y Exodus mediante el uso de paquetes de software comprometidos instalados por desarrolladores que desconocen el malware contenido en el código.
El malware, al ejecutarse, puede enviar criptomonedas a direcciones controladas por ladrones sin ninguna indicación en la billetera del propietario.
## Cómo funciona el ataque
Investigadores dicen que el ataque comienza cuando los desarrolladores, sin saberlo, incluyen paquetes de administrador de paquetes de nodos (NPM) pirateados en sus proyectos. Un paquete de este tipo llamado "pdf-to-office" parece genuino en la superficie, pero oculta código malicioso en su interior.
El paquete busca billeteras criptográficas instaladas en las computadoras y luego inyecta código que intercepta las transacciones. Esto permite a los delincuentes robar dinero sin el conocimiento o permiso del usuario.
## Múltiples criptomonedas en riesgo
Los investigadores de seguridad han concluido que el malware puede desviar transacciones en varias de las principales criptomonedas del mundo. Incluyen Ethereum, USDT, XRP y Solana. El ataque es lo que los investigadores identifican como "una escalada en los ataques continuos dirigidos a los usuarios de criptomonedas a través de ataques a la cadena de suministro de software".
### Detalles técnicos revelan métodos sofisticados
ReversingLabs descubrió la campaña buscando paquetes NPM sospechosos. Su análisis reveló varias señales de advertencia, como asociaciones de URL sospechosas y estructuras de código que coinciden con amenazas conocidas.
El ataque emplea técnicas sofisticadas para evadir las herramientas de seguridad y es de naturaleza multietapa. La infección comienza cuando el paquete de malware ejecuta su código dirigido al software de billetera en la máquina del objetivo. Busca específicamente archivos de aplicación en algunas de las rutas predeterminadas antes de inyectar su código malicioso.
### Sin señales visuales de advertencia para el usuario
Según los informes, el efecto de este malware puede ser catastrófico, ya que las transacciones parecen absolutamente normales en la interfaz de la billetera. El código sustituye las direcciones de destinatario válidas con direcciones controladas por el atacante mediante codificación base64.
Por ejemplo, cuando un usuario intenta enviar ETH, el malware sustituye la dirección del destinatario con la dirección del atacante, que está oculta en forma codificada. Los usuarios no tienen ninguna pista visual de que algo anda mal hasta que revisan el registro de blockchain posteriormente y descubren que su dinero fue a una dirección inesperada.
La amenaza a la seguridad indica un mayor daño a los propietarios de criptomonedas que podrían no saber que sus transacciones están comprometidas hasta que los fondos desaparezcan. El modus operandi del ataque es evidencia de cómo los piratas informáticos siguen ideando nuevos métodos para robar activos digitales.
Los usuarios de criptomonedas deben ser extremadamente cautelosos al verificar todas las direcciones de las transacciones. También se recomienda a los desarrolladores que verifiquen la seguridad de cualquier paquete que instalen en proyectos relacionados con criptomonedas.
Imagen destacada de Enterprise Networking Planet, gráfico de TradingView