Recientemente, se han descubierto cuatro paquetes maliciosos en el registro de npm que tienen la capacidad de robar credenciales de billeteras de criptomonedas de desarrolladores de Ethereum. Estos paquetes, subidos por un usuario que se hace llamar ‘flashbotts’, se hacen pasar por utilidades criptográficas legítimas y la infraestructura de Flashbots, mientras exfiltran claves privadas y frases semilla a un bot de Telegram controlado por los atacantes.
Un problema de seguridad tremendamente grave
Entre los paquetes identificados, destaca especialmente ‘@flashbotts/ethers-provider-bundle’, diseñado para ocultar operaciones maliciosas tras funciones aparentemente inocuas. Este paquete incorpora una funcionalidad que redirige transacciones no firmadas a una billetera controlada por el atacante y también captura metadatos de transacciones pre-firmadas. Más alarmante aún, este tipo de maneja engañosa podría permitir a los delincuentes hacerse con el control total de las cuentas de las víctimas.
Los ataques están diseñados para aprovechar la confianza depositada en Flashbots, una entidad ampliamente reconocida por su papel en mitigar los efectos adversos del Maximal Extractable Value (MEV) en la red de Ethereum. Este contexto de confianza facilitan la adopción inadvertida de estos paquetes maliciosos por parte de desarrolladores que buscan herramientas legítimas para sus proyectos.
Investigaciones indican que los paqueterías maliciosos no solo operan a la sombra de funciones aparentemente benignas, sino que se pueden activar en el código de proyectos sin el conocimiento de sus desarrolladores. La inclusión de comentarios en vietnamita en el código sugiere que los atacantes podrían ser hablantes de vietnamita.
De acuerdo con los expertos, la existencia de estos paquetes maliciosos convierte el desarrollo Web3 en un conducto directo a bots controlados por delincuentes, lo que representa un riesgo considerable para la seguridad de las inversiones en criptomonedas. La apropiación de claves privadas en este entorno puede llevar a un robo irreversible de fondos, lo que plantea serias preocupaciones para la comunidad de desarrolladores y usuarios de Ethereum.
