Axios, una de las bibliotecas de JavaScript más populares, puede estar comprometida e involucrada en un ataque a billeteras cripto. El ataque al paquete npm se está volviendo más común, atacando directamente proyectos, desarrolladores y usuarios finales.
Un paquete npm de Axios fue publicado en la biblioteca oficial de JavaScript y despublicado solo horas después. Los expertos en seguridad on-chain interceptaron el ataque, que estuvo activo durante aproximadamente tres horas.
Los paquetes npm fueron comprometidos a través de las credenciales de @jasonsaayman, mientras los investigadores aún buscaban señales de que la cuenta había sido comprometida. Los paquetes afectados fueron identificados como [email protected] y [email protected].
Como Cryptopolitan reportó anteriormente, los ataques npm a menudo tienen como objetivo las billeteras cripto y son especialmente riesgosos para proyectos descentralizados con grandes tenencias de equipo.
¿Qué sucedió en el ataque npm de Axios?
StepSecurity estuvo entre los primeros en identificar el problema. Dos versiones maliciosas de la biblioteca cliente HTTP de Axios fueron publicadas a través de las credenciales comprometidas de un mantenedor principal de Axios, evadiendo el proceso normal de publicación en GitHub.
Según StepSecurity, este fue el ataque más sofisticado contra un paquete npm del top-10 ampliamente utilizado. La versión maliciosa del paquete inyecta una nueva dependencia, [email protected], que no está importada en el código fuente de axios. La dependencia ejecuta un script de post-instalación, activo en todos los sistemas operativos.
Después de usar el npm, el cliente se infecta con un dropper de troyano de acceso remoto, que tiene un servidor activo y entrega las cargas útiles. El malware también se elimina a sí mismo y reemplaza el .json sospechoso con una versión limpia para evadir la detección.
¿Qué tipos de proyectos fueron afectados?
Los paquetes npm estaban entre los más populares, con hasta 100 millones de descargas semanales. Sin embargo, en este punto, no hay reportes de movimiento cripto no autorizado. Anteriormente, un ataque npm llevó a solo $1,000 de pérdidas cripto de tokens oscuros.
La única forma de limitar npm malicioso es rastrear versiones y no permitir actualizaciones automáticas, o verificar nuevas versiones en busca de posibles cargas maliciosas.
Los investigadores también descubrieron dos paquetes maliciosos adicionales que entregan cargas útiles de la misma manera: @shadanai/openclaw y @qqbrowser/openclaw-qbot. El ataque sigue a la inyección de código malicioso de LiteLLM por apenas una semana.
No hay reportes de proyectos Web3 u OpenClaw afectados o cripto robada, durante la duración del ataque. Sin embargo, se emitieron advertencias de que los ataques npm pueden ahora convertirse en la norma, ya sea a través de credenciales robadas o publicadores no autorizados. La amenaza sigue a advertencias previas sobre código malicioso usando la plataforma de habilidades OpenClaw.
Los paquetes no se limitan a proyectos Web3 o de bots, y pueden afectar cualquier carga útil vinculada a billeteras cripto. La pérdida de confianza en npm e instalaciones pip para Python también puede erosionar la confianza general en el ecosistema de bibliotecas, con llamados a una ruta de carga más segura.
El uso de agentes de IA también puede llevar a la descarga indiscriminada de paquetes, propagando la amenaza. Los efectos reales en las billeteras cripto pueden no ser inmediatos, pero aún potencialmente exponen datos de billetera.
Tu banco está usando tu dinero. Estás recibiendo las sobras. Mira nuestro video gratuito sobre cómo convertirte en tu propio banco
Fuente: https://www.cryptopolitan.com/supply-chain-attack-axios-crypto-wallets/
