El día en que chalk y debug se volvieron cripto ladrones

Análisis del ataque a la cadena de suministro de npm en septiembre de 2025 que convirtió paquetes en robo de criptomonedas, con phishing y recomendaciones de seguridad: FIDO2/WebAuthn y auditoría de dependencias.

10 sept 2025 • 5 min read • Q2BSTUDIO Team

Inteligencia-Artificial-

Cada día millones de desarrolladores escriben casi sin pensar el comando npm install en sus terminales. Es un gesto cotidiano que abre la puerta a un vasto ecosistema de paquetes de código abierto, pero también puede ser la vía de entrada para amenazas silenciosas. El 8 de septiembre de 2025 esa confianza fue explotada en uno de los mayores ataques a la cadena de suministro recientes, cuando paquetes aparentemente inofensivos como chalk y debug se convirtieron en ladrones de criptomonedas.

El vector de ataque no fue un exploit complejo sino la explotación calculada del eslabón más débil de la seguridad humana. Un solo correo de phishing dirigido a un mantenedor muy respetado permitió a los atacantes publicar versiones maliciosas en paquetes con miles de millones de descargas semanales, multiplicando el impacto potencial.

El objetivo fue un desarrollador muy activo y de confianza conocido como qix. Sus paquetes, usados como dependencias transitorias por innumerables proyectos, sumaban miles de millones de descargas semanales. El correo fraudulento provenía de un dominio que imitaba al servicio oficial y advertía de un bloqueo de cuenta si no se actualizaba la 2FA, creando prisa y pánico. Con el objetivo distraído y desde un dispositivo móvil, los atacantes ejecutaron una maniobra de adversary in the middle que permitió robar la sesión pese a que la víctima usaba autenticación de dos factores basada en TOTP.

Este tipo de ataques demuestra que los códigos TOTP y el SMS no son totalmente resistentes al phishing avanzado. La defensa efectiva pasa por métodos criptográficos vinculados al origen, como FIDO2 y WebAuthn, que impiden a un proxy en otro dominio retransmitir la autenticación.

Una vez comprometida la cuenta, los atacantes cambiaron el correo asociado y publicaron versiones maliciosas de decenas de paquetes. Gracias a la detección rápida de la comunidad de seguridad el daño fue contenido: en pocas horas se detectaron las publicaciones sospechosas, el mantenedor confirmó la intrusión y el registro público eliminó las versiones comprometidas. Aun así, el potencial de alcance quedó claro y la respuesta colectiva fue decisiva para mitigar la amenaza.

El payload inyectado era un crypto-clipper, un tipo de malware diseñado para robar criptomonedas sustituyendo direcciones copiadas por el usuario en el portapapeles. En navegadores atacó tanto las respuestas de red como las llamadas a wallets Web3. Primero inspeccionaba y reescribía API responses que contenían direcciones, y luego, si detectaba una extensión de wallet como MetaMask, interceptaba llamadas como eth_sendTransaction y alteraba en memoria la dirección destino justo antes de la confirmación del usuario.

Para que la sustitución pasara desapercibida el malware elegía la dirección atacante más parecida visualmente a la original usando la distancia de Levenshtein, de modo que la comparación rápida del usuario raramente detectara el cambio. Además, la lógica maliciosa estaba ofuscada con renombrado de símbolos, cifrado de cadenas y flujo de control enrevesado, lo que dificultó su detección automática y manual.

Este incidente no es aislado. La cadena de suministro de software ha sido objetivo reiterado porque comprometer un componente de confianza es una forma eficiente de alcanzar a miles o millones de usuarios. Ataques previos demostraron evolución en la imaginación de los atacantes: desde mineros de criptomonedas hasta harvesters de credenciales que buscan claves SSH, tokens de GitHub o archivos .npmrc para escalar compromisos.

Un problema adicional es el caché interno de repositorios; herramientas como Sonatype Nexus actúan como proxy y almacenan en local las versiones que se piden por primera vez. Si durante la ventana de vida del paquete malicioso una build interna solicita esa versión, Nexus la cachea y posteriormente seguirá sirviéndola incluso después de que la versión se haya eliminado del registro público. Por eso una remediación pública no siempre elimina el riesgo interno y hay que purgar caches y blob stores para eliminar definitivamente los artefactos comprometidos.

Recomendaciones prácticas y pasos de recuperación: para desarrolladores, auditar dependencias con npm audit, revisar manualmente package-lock.json o yarn.lock, buscar indicadores de compromiso en los bundles finales y realizar una reinstalación limpia eliminando node_modules y el lockfile, limpiando la cache local con npm cache clean --force y reinstalando con npm install o usando npm ci en CI para instalaciones deterministas. Para administradores con Nexus, localizar y eliminar componentes maliciosos desde la UI o vía API, aplicar políticas de limpieza agresivas y ejecutar la compactación del blob store para garantizar la eliminación física de los paquetes.

Para reducir el riesgo futuro conviene adoptar medidas organizadas: aplicar escaneo automático de dependencias en CI/CD, bloquear builds que fallen auditorías, exigir lockfiles en control de código y favorecer MFA resistente al phishing como FIDO2. También es importante integrar la seguridad en el ciclo de vida del desarrollo y combinar prácticas de DevOps con controles que verifiquen continuamente las dependencias.

En Q2BSTUDIO, empresa de desarrollo de software y aplicaciones a medida, entendemos la importancia de estas prácticas y acompañamos a nuestros clientes en la implementación de estrategias completas que van desde la creación de software a medida y aplicaciones a medida hasta la protección avanzada de la cadena de suministro. Nuestros equipos especialistas en inteligencia artificial y ciberseguridad diseñan soluciones que combinan automatización, análisis de riesgo y monitorización continua para minimizar la superficie de ataque.

Ofrecemos servicios integrales que incluyen consultoría en ciberseguridad y pentesting, integración de inteligencia artificial y agentes IA para empresas, despliegues seguros en servicios cloud aws y azure, y soluciones de inteligencia de negocio como Power BI para transformar datos en decisiones. Palabras clave como aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi son el núcleo de nuestra oferta para ayudar a las organizaciones a ser resilientes frente a amenazas modernas.

Este incidente es una llamada de atención: la confianza en el ecosistema de código abierto debe complementarse con verificación sistemática y prácticas operativas más seguras. La buena noticia es que, con políticas adecuadas, herramientas automatizadas y formación, es posible reducir drásticamente el riesgo. En Q2BSTUDIO trabajamos para que la innovación vaya acompañada de seguridad, ayudando a que su arquitectura, sus pipelines y sus aplicaciones permanezcan protegidas sin sacrificar velocidad ni eficiencia.

Si desea asesoramiento para auditar sus dependencias, asegurar sus pipelines o diseñar estrategias de inteligencia artificial segura y servicios cloud, nuestro equipo está listo para colaborar y adaptar una solución a sus necesidades.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.

Live Chat