Un reporte de ReversingLabs reveló que actores maliciosos están usando contratos inteligentes de Ethereum como medio para descargar malware desde paquetes NPM contaminados. Binance advierte que este vector de ataque está vinculado a grupos de hackers norcoreanos.
Paquetes NPM envenenados con actividad falsa
Los investigadores identificaron dos librerías maliciosas (colortoolsv2 y mimelib2) en el repositorio de Node Package Manager (NPM). Ambas contenían scripts que descargaban la segunda fase de malware a través de direcciones ocultas en contratos inteligentes de Ethereum.
Lo preocupante es que los repositorios en GitHub relacionados simulaban legitimidad con miles de commits, estrellas y supuestos colaboradores, aunque la mayoría de la actividad era falsificada para generar confianza.
Según Lucija Valentić, investigadora de ReversingLabs, lo novedoso es que los contratos inteligentes se usen como contenedor de URLs para comandos maliciosos, algo no visto antes en campañas similares.
Conexión con Corea del Norte
El chief security officer de Binance, Jimmy Su, explicó que este tipo de envenenamiento de paquetes es uno de los principales vectores de ataque de Lazarus, grupo vinculado a Corea del Norte.
Datos de Chainalysis muestran que en 2024 los hackers norcoreanos fueron responsables del 61 % de los fondos cripto robados, con un total de $1.3 mil millones. El FBI también los relaciona con el hackeo récord de $1.4 mil millones a Bybit.
Riesgo creciente para desarrolladores y exchanges
Aunque los paquetes no eran sofisticados, el esfuerzo en disfrazar su legitimidad representa un peligro real para programadores que confían en librerías de código abierto.
Por ello, grandes exchanges como Binance, Coinbase y Kraken comparten información en grupos cerrados de Telegram y Signal para alertar sobre bibliotecas comprometidas y responder en primera línea ante incidentes.
“El mayor vector de ataque contra la industria cripto hoy son actores estatales, especialmente en la DPRK. Han estado enfocados en cripto durante los últimos años y han tenido bastante éxito”, advirtió Su.
