Compartir este artículo
Hackers cripto usan contratos inteligentes de Ethereum para ocultar cargas de malware
Un código de apariencia simple accedió a la blockchain de Ethereum para obtener URLs ocultas que dirigían a sistemas comprometidos a descargar malware de segunda etapa.
Lo que debes saber:
- Investigadores descubrieron paquetes maliciosos de NPM que utilizan contratos inteligentes de Ethereum para ocultar código dañino.
- Los paquetes disfrazaron su actividad como tráfico legítimo de blockchain, lo que dificultó su detección.
- Se advierte a los desarrolladores que incluso los commits populares pueden ser falsificados, lo que representa riesgos para la cadena de suministro.
Ethereum se ha convertido en el último frente de los ataques a la cadena de suministro de software.
A principios de esta semana, investigadores en ReversingLabs descubrieron dos paquetes maliciosos de NPM que utilizaban contratos inteligentes de Ethereum para ocultar código dañino, lo que permitía que el malware eludiera las verificaciones de seguridad tradicionales.
CONTINÚA MÁS ABAJO
No te pierdas otra historia.Suscríbete al boletín de Crypto Daybook Americas hoy. Ver todos los boletines
NPM es un gestor de paquetes para el entorno de ejecución Node.js y se considera el registro de software más grande del mundo, donde los desarrolladores pueden acceder y compartir código que contribuye a millones de programas de software.
Los paquetes, "colortoolsv2" y "mimelib2", fueron subidos al ampliamente utilizado repositorio Node Package Manager en julio. A primera vista, parecían ser utilidades simples, pero en la práctica, accedían a la blockchain de Ethereum para obtener URLs ocultas que dirigían a sistemas comprometidos a descargar malware de segunda etapa.
Al incorporar estos comandos dentro de un contrato inteligente, los atacantes disfrazaron su actividad como tráfico legítimo de blockchain, lo que dificultó la detección.
“Esto es algo que no habíamos visto anteriormente”, dijo la investigadora de ReversingLabs, Lucija Valentić, en su informe. “Esto destaca la rápida evolución de las estrategias de evasión de detección por parte de actores maliciosos que están manipulando repositorios de código abierto y desarrolladores”.
La técnica se basa en un antiguo manual de operaciones. Ataques anteriores han utilizado servicios confiables como GitHub Gists, Google Drive o OneDrive para alojar enlaces maliciosos. Al aprovechar los contratos inteligentes de Ethereum en su lugar, los atacantes añadieron un giro con sabor criptográfico a una táctica de cadena de suministro ya peligrosa.
El incidente forma parte de una campaña más amplia. ReversingLabs descubrió los paquetes vinculados a repositorios falsos de GitHub que se hacían pasar por bots de comercio de criptomonedas. Estos repositorios estaban rellenos con commits fabricados, cuentas de usuario falsas y un número inflado de estrellas para parecer legítimos.
Los desarrolladores que descargaron el código corrieron el riesgo de importar malware sin ser conscientes de ello.
Los riesgos en la cadena de suministro de herramientas criptográficas de código abierto no son nuevos. El año pasado, los investigadores identificaron más de 20 campañas maliciosas dirigidas a desarrolladores a través de repositorios como npm y PyPI.
Muchos estaban dirigidos a robar credenciales de billeteras o instalar mineros de criptomonedas. Pero el uso de contratos inteligentes de Ethereum como mecanismo de entrega demuestra que los adversarios se están adaptando rápidamente para integrarse en los ecosistemas blockchain.
Una conclusión para los desarrolladores es que los commits populares o los mantenedores activos pueden ser falsificados, e incluso los paquetes aparentemente inocuos pueden contener cargas ocultas.
Este artículo, o partes del mismo, fue generado con asistencia de herramientas de IA y revisado por nuestro equipo editorial para garantizar la precisión y el cumplimiento de nuestros estándares. Para más información, consulte la política completa de IA de CoinDesk.
Más para ti
Lo que debes saber:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Más para ti
La profunda corrección de Bitcoin prepara el escenario para un repunte en diciembre, señala K33 Research
K33 Research indica que el miedo en el mercado está superando a los fundamentos mientras bitcoin se acerca a niveles clave. Diciembre podría ofrecer un punto de entrada para inversores audaces.
Lo que debes saber:
- K33 Research señala que la fuerte corrección del bitcoin muestra señales de haber tocado fondo, con diciembre potencialmente marcando un punto de inflexión.
- La firma ha argumentado que el mercado está sobrerreaccionando ante los riesgos a largo plazo mientras ignora señales de fortaleza a corto plazo, como el bajo apalancamiento y niveles sólidos de soporte.
- Con probables cambios de política en el horizonte y una posición cautelosa en futuros, K33 percibe un mayor potencial de alza que riesgo de otro colapso importante.
Historias Destacadas
