Cuatro paquetes maliciosos detectados en npm fingen ser utilidades legítimas para desarrolladores de Ethereum, pero en realidad están diseñados para robar credenciales de wallets y semillas criptográficas, exponiendo a proyectos y operadores DeFi a graves riesgos de robo de fondos.

Ilustración conceptual de robo de claves de wallets Ethereum a través de paquetes npm.

El ecosistema de desarrollo Web3 en Ethereum vuelve a estar bajo amenaza tras la detección de una serie de npm packages maliciosos que suplantan proyectos populares como Flashbots. Estas bibliotecas, aún disponibles en el repositorio oficial, introducen funciones ocultas que exfiltran semillas y claves privadas hacia canales controlados por atacantes.

Los paquetes identificados (@flashbotts/ethers-provider-bundle, flashbot-sdk-eth, sdk-ethers y gram-utilz) simulan ser utilidades de cifrado o SDKs relacionados con Flashbots MEV, pero integran código para robar datos sensibles. Utilizan métodos furtivos como el envío de semillas y claves mediante bots de Telegram o por SMTP con servicios como Mailtrap. Algunos solo activan su función maliciosa en casos específicos, dificultando su detección y permitiendo que el código genuino o benigno oculte sus verdaderas intenciones.

El mayor riesgo reside en el robo de claves privadas y semillas, lo que otorga control absoluto de wallets y fondos. Un ataque exitoso puede causar pérdida inmediata e irreversible de criptoactivos, además de permitir manipulación de transacciones y acceso a información confidencial de los proyectos. Al estar orientados a desarrolladores DeFi y operadores de bots MEV, la superficie de ataque es significativa y afecta a actores con grandes volúmenes de fondos en juego.

Se recomienda la revisión urgente de dependencias npm en proyectos Web3 y DeFi, eliminando estos paquetes (y sus variantes sospechosas) y auditando de inmediato la presencia de código no autorizado. Los desarrolladores deben rotar inmediatamente las claves y semillas expuestas, habilitar la monitorización de dependencias, y confiar solo en fuentes y autores oficiales verificando la identidad mediante firmas o referencias cruzadas. Además, consideren herramientas de seguridad para supply chain, como Socket o Snyk, que alerten sobre comportamientos peligrosos en las bibliotecas utilizadas.

El incidente demuestra el alto riesgo de la cadena de suministro en software abierto. Los desarrolladores deben extremar precauciones al incorporar nuevas dependencias y vigilar cambios sospechosos en librerías, ya que un simple paquete comprometido puede resultar en pérdidas millonarias e irreparables en ecosistemas blockchain.

Más información