Tecnología
Compartir este artículo

El CTO de Ledger advierte sobre un ataque en la cadena de suministro de NPM que afecta a más de 1.000 millones de descargas

Según Guillemet, el código malicioso —ya incorporado en paquetes con más de 1.000 millones de descargas— está diseñado para cambiar de forma sigilosa las direcciones de las carteras criptográficas en las transacciones. Esto significa que usuarios desprevenidos podrían enviar fondos directamente al atacante sin darse cuenta.

Por Margaux Nijkerk, AI Boost|Editado por Nikhilesh De
8 sept 2025, 7:29 p. .m.. Traducido por IA
ledger-wallet-nano-review-inserted

Lo que debes saber:

  • Charles Guillemet, director de tecnología en el fabricante de billeteras de hardware Ledger, advirtió en X el lunes que se está llevando a cabo un ataque a gran escala en la cadena de suministro tras la compromoción de la cuenta de Node Package Manager (NPM) de un desarrollador de renombre.
  • Según Guillemet, el código malicioso — ya incluido en paquetes con más de 1 mil millones de descargas — está diseñado para intercambiar silenciosamente las direcciones de las billeteras criptográficas en las transacciones. Esto significa que los usuarios desprevenidos podrían enviar fondos directamente al atacante sin darse cuenta.

Charles Guillemet, director de tecnología en el fabricante de billeteras de hardware Ledger, advirtió en X el lunes que se está llevando a cabo un ataque a gran escala en la cadena de suministro tras la compromoción de la cuenta de Node Package Manager (NPM) de un desarrollador de renombre.

Según Guillemet, el código malicioso — ya incluido en paquetes con más de 1 mil millones de descargas — está diseñado para intercambiar silenciosamente las direcciones de las billeteras criptográficas en las transacciones. Esto significa que los usuarios desprevenidos podrían enviar fondos directamente al atacante sin darse cuenta.

CONTINÚA MÁS ABAJO
No te pierdas otra historia.Suscríbete al boletín de The Protocol hoy. Ver todos los boletines
By signing up, you will receive emails about CoinDesk products and you agree to our terms & conditions and política de privacidad.

Guillemet no mencionó al desarrollador cuya cuenta dijo que fue comprometida.

El incidente subraya cuán profundamente interconectado está el software de código abierto y por qué las fallas de seguridad en las herramientas para desarrolladores pueden repercutir en la economía cripto casi de inmediato.

“NPM es una herramienta comúnmente utilizada en el desarrollo de software con JavaScript, que facilita la integración de paquetes para los desarrolladores,” dijo Guillemet en un mensaje a CoinDesk. Cuando un atacante compromete la cuenta de un desarrollador, puede introducir código malicioso en paquetes de uso generalizado.

“El código malicioso intenta drenar a los usuarios intercambiando direcciones utilizadas en transacciones o actividad general en la cadena y reemplazándolas con la dirección del hacker,” añadió Guillemet.

Guillemet destacó que si cualquier aplicación descentralizada o monedero de software en cualquier cadena de bloques incluye estos paquetes de JavaScript, entonces podrían ser comprometidos, y los usuarios de criptomonedas podrían perder sus fondos.

“La única forma segura de combatir esto es utilizar una billetera de hardware con una pantalla segura que soporte Clear Signing,” dijo Guillemet a CoinDesk. “Esto permitirá al usuario ver exactamente a qué direcciones se están enviando los fondos y garantizar que coincidan con las direcciones previstas.”

"Las billeteras de hardware sin pantallas seguras y cualquier billetera que no soporte la firma Clear están en alto riesgo, ya que es imposible verificar con precisión que los detalles de la transacción sean correctos," añadió.

"Es una oportunidad para recordar a todos: siempre verifiquen sus transacciones, nunca firmen a ciegas, utilicen una billetera de hardware con pantalla segura y firmen todo con claridad," dijo Guillemet.

Leer más: El CTO de Ledger responde a las críticas sobre el nuevo servicio de recuperación de billeteras

LedgerCharles guillemetHack
Descargo de responsabilidad sobre IA: Partes de este artículo se han generado con la ayuda de herramientas de IA y han sido revisadas por nuestro equipo editorial para garantizar su precisión y el cumplimiento de nuestros estándares. ara más información, consulte Política completa de CoinDesk sobre IA.

Más para ti

Citadel Securities respalda a LayerZero mientras revela la blockchain ‘Zero’ para mercados globales

Por Will Canny, AI Boost|Editado por Stephen Alpher
hace 1 hora
Stylized network of light focii covering Earth (geralt/Pixabay)

Citadel ha realizado una inversión estratégica en el token ZRO de LayerZero mientras la empresa de interoperabilidad lanza su blockchain de alto rendimiento.

Lo que debes saber:

  • Citadel Securities invirtió en el token ZRO de LayerZero y está colaborando en la estructura del mercado y en casos de uso post-negociación.
  • LayerZero presentó "Zero", una cadena de bloques heterogénea que apunta a millones de transacciones por segundo y tarifas cercanas a cero.
  • DTCC, ICE, Google Cloud y ARK Invest establecen alianzas e invierten mientras las instituciones exploran los mercados tokenizados.
Leer la noticia completa