Noticias sobre tokenización, blockchain y activos del mundo real (RWA)

El medio independiente para entender la evolución cripto, Web3 y la tokenización del mundo real

Menu
Menu
,

Ciberdelincuentes usan smart contracts de Ethereum para ocultar malware en bibliotecas de código abierto

Nueva táctica cibernética: Ocultamiento de malware en la blockchain de Ethereum

Investigadores de ciberseguridad han detectado una sofisticada estrategia empleada por actores maliciosos: la utilización de los contratos inteligentes de Ethereum para camuflar y distribuir software dañino en bibliotecas de código abierto. Esta innovadora técnica, que involucra plataformas de desarrollo como npm y GitHub, representa una evolución significativa en las metodologías de ataque, dificultando la detección y propagación de virus informáticos.

El hallazgo subraya la creciente adaptabilidad de los ciberdelincuentes, quienes ahora explotan la infraestructura de la blockchain para sus fines. Mediante esta aproximación, logran insertar código malicioso en paquetes de software populares, que posteriormente son integrados por desarrolladores en sus proyectos, sin previo conocimiento del riesgo.

El informe de ReversingLabs: Una mirada detallada a la amenaza

La firma de seguridad ReversingLabs fue la encargada de desvelar esta táctica a través de un informe exhaustivo. Su investigación identificó dos paquetes maliciosos específicos, nombrados “colortoolsv2” y “mimelib2”, lanzados en el repositorio npm durante el mes de julio. A primera vista, estos paquetes se presentaban como herramientas utilitarias inofensivas, pero su funcionalidad oculta ejecutaba un script sigiloso.

Este script se comunicaba con un contrato inteligente alojado en la blockchain de Ethereum. El propósito de dicha interacción era obtener direcciones web secretas, las cuales conducen a un servidor de “comando y control” (C2). Desde este C2, se descargaba e instalaba malware adicional en el dispositivo del usuario afectado, consolidando la infección.

Una estrategia de evasión audaz y sin precedentes

La particularidad de esta técnica reside en la forma en que los atacantes evitan la detección. En lugar de incrustar enlaces maliciosos directamente en el código del paquete —una práctica que simplificaría su identificación—, optan por almacenar estas referencias en la blockchain de Ethereum. Esta elección estratégica tiene un doble beneficio para los cibercriminales: primero, disfraza el tráfico malicioso como actividad legítima asociada a criptomonedas y, segundo, aprovecha la naturaleza descentralizada de la blockchain para hacer más difícil el rastreo.

Lucija Valentić, investigadora principal de ReversingLabs, enfatizó la novedad de este enfoque: “Esto es algo que no habíamos visto antes”. Valentić también advirtió sobre la amenaza que esta táctica representa para la cadena de suministro de software abierta, señalando que “destaca la rápida evolución de las estrategias de evasión de detección por parte de actores maliciosos que merodean repositorios de código abierto y a los desarrolladores”.

Aunque los paquetes comprometidos fueron eliminados rápidamente de npm tras la alerta de los investigadores, el riesgo de exposición persistió para aquellos desarrolladores que los descargaron previamente, pudiendo haber introducido inadvertidamente código malicioso en sus sistemas o proyectos.

La expansión de la campaña maliciosa a GitHub

La evaluación de ReversingLabs también reveló que esta amenaza no se limita exclusivamente a npm, sino que forma parte de una campaña mucho más abarcadora que incluye repositorios fraudulentos en GitHub. Esta plataforma, ampliamente utilizada por la comunidad de desarrolladores de software, incluyendo aquellos enfocados en criptomonedas, ha sido comprometida mediante la creación de cuentas y proyectos falsos.

Ejemplos de estos repositorios incluyen “solana-trading-bot-v2”, “ethereum-mev-bot-v2” y “arbitrage-bot”. Estos proyectos están diseñados meticulosamente para emular bots de comercio de criptomonedas, con el objetivo de atraer a usuarios interesados en el ámbito de las finanzas digitales. A primera vista, estos repositorios parecen legítimos y confiables, presentando indicadores de actividad como miles de “commits” (actualizaciones de código), un gran número de estrellas y contribuyentes aparentemente activos.

Ingeniería social avanzada: Creando una ilusión de confianza

Sin embargo, toda esta actividad es una elaborada falsificación. Los commits son frecuentemente triviales y automatizados (como la adición o eliminación repetida de archivos de licencia). Las estrellas obtenidas provienen de cuentas falsas creadas masivamente, y los supuestos contribuidores son en realidad “cuentas títere” bajo el control directo de los atacantes, con nombres generados aleatoriamente o poco comunes, como “pasttimerles”, “slunfuedrac” y “cnaovalles”, según el informe.

Esta sofisticada estrategia de ingeniería social busca engañar a los desarrolladores para que integren estos paquetes maliciosos como dependencias en sus propios proyectos. Una vez incorporados, el malware se propaga de manera silenciosa y se inserta en una cadena de suministro más amplia, afectando a otros usuarios y sistemas. Valentić comentó al respecto: “Una vez que decidimos profundizar en los paquetes, descubrimos evidencia de una campaña mucho más grande que se extendía tanto en npm como en GitHub, intentando atraer a desarrolladores para que descargaran repositorios que incluían paquetes npm maliciosos”.

Precauciones para desarrolladores de criptomonedas y la comunidad de software

Aunque no es la primera vez que se observan ataques de este tipo, la adición de contratos inteligentes de Ethereum introduce una capa de complejidad que dificulta la detección, especialmente en entornos donde el tráfico de blockchain es rutinario. Ataques previos han utilizado servicios como GitHub Gists, Google Drive o OneDrive para ocultar enlaces maliciosos, pero la inclusión de esta tecnología de criptomonedas marca un nuevo precedente.

El año pasado, se documentaron más de 20 campañas maliciosas similares en plataformas como npm y PyPI (el sistema de índices de paquetes para Python), muchas de las cuales se enfocaban en el robo de credenciales de carteras de criptomonedas o la instalación de mineros de criptomonedas no autorizados.

Este panorama resalta un riesgo crítico: herramientas aparentemente gratuitas y populares en Internet pueden convertirse en vectores de ataque. Los desarrolladores, particularmente aquellos inmersos en el ecosistema de las criptomonedas, deben extremar las precauciones, ya que métricas superficiales como el número de estrellas o commits pueden ser fácilmente manipuladas por los atacantes.

Valentić advirtió: “Los desarrolladores y las organizaciones necesitan estar atentos a esfuerzos por implantar código malicioso en aplicaciones legítimas, acceder a activos sensibles y robar datos o activos digitales”. Para mitigar estos riesgos, recomienda verificar exhaustivamente el historial de los repositorios y emplear herramientas de análisis de seguridad antes de integrar cualquier paquete o dependencia.

En síntesis, este incidente no solo expone las vulnerabilidades latentes en la cadena de suministro de software, donde un único paquete infectado puede repercutir en millones de aplicaciones, sino que también confirma la rápida adaptación de los ciberdelincuentes al entorno de la blockchain, transformándolo en un nuevo frente de batalla en la ciberseguridad.