Cripto comunidad se enfrenta a una creciente ola de ciberataques, donde los elementos de amenaza han lanzado una sofisticada cadena de suministro de software con el objetivo de comprometer los Monedero Web3 utilizados comúnmente, incluyendo Atomic Wallet y Exodus.
Según los investigadores de ReversingLabs (RL), el centro de la campaña de ataque malicioso es el gestor de paquetes npm, una plataforma popular para desarrolladores de JavaScript y Node.js. Los atacantes están instalando un paquete engañoso llamado pdf-to-office, que se presenta erróneamente como una utilidad para convertir archivos PDF a formatos de Microsoft Office. En su lugar, el paquete contiene códigos maliciosos diseñados para tomar el control de las instalaciones locales de software de monedero cripto legítimos.
Después de ejecutar el paquete Pdf-to-office, inyecta silenciosamente parches maliciosos en las versiones localmente instaladas de Atomic Wallet y Exodus. Estos parches reemplazan el código legítimo por una versión modificada que permite a los atacantes bloquear y redirigir las transacciones de criptomonedas. En la aplicación, los usuarios que intentan enviar dinero descubrieron que sus transacciones se estaban redirigiendo a una billetera controlada por atacantes y que no había ningún signo visible de intervención.
El ataque se aprovechó de una técnica que es sutil y se está volviendo cada vez más popular: en lugar de tomar directamente los paquetes de código abierto upstream, los actores maliciosos están aplicando parches a software legítimo que ya está instalado en el sistema de la víctima, insertando así código malicioso en entornos locales.
El paquete pdf-to-office apareció por primera vez en npm en marzo de 2025 y se publicaron múltiples versiones de manera consecutiva. La última versión, 1.1.2, se lanzó el 1 de abril. Investigadores de RL detectaron el paquete utilizando un análisis de comportamiento centrado en el aprendizaje automático de la plataforma Spectra Assure. Se descubrió que el código contenía JavaScript oculto, que es una bandera roja común en las campañas de malware recientes de npm.
Era notable que los efectos continuaban incluso después de que el paquete malicioso fue eliminado. Después de que los monederos Web3 fueron parches, simplemente eliminar el paquete npm falso no eliminó el peligro. Las víctimas tenían que desinstalar y reinstalar completamente sus aplicaciones de monedero para eliminar los componentes troyanos y restablecer la integridad del monedero.
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
¡Nueva alarma de troyano que afecta a los usuarios de Criptomoneda! ¡No descargues este archivo llamado así!
Cripto comunidad se enfrenta a una creciente ola de ciberataques, donde los elementos de amenaza han lanzado una sofisticada cadena de suministro de software con el objetivo de comprometer los Monedero Web3 utilizados comúnmente, incluyendo Atomic Wallet y Exodus.
Según los investigadores de ReversingLabs (RL), el centro de la campaña de ataque malicioso es el gestor de paquetes npm, una plataforma popular para desarrolladores de JavaScript y Node.js. Los atacantes están instalando un paquete engañoso llamado pdf-to-office, que se presenta erróneamente como una utilidad para convertir archivos PDF a formatos de Microsoft Office. En su lugar, el paquete contiene códigos maliciosos diseñados para tomar el control de las instalaciones locales de software de monedero cripto legítimos.
Después de ejecutar el paquete Pdf-to-office, inyecta silenciosamente parches maliciosos en las versiones localmente instaladas de Atomic Wallet y Exodus. Estos parches reemplazan el código legítimo por una versión modificada que permite a los atacantes bloquear y redirigir las transacciones de criptomonedas. En la aplicación, los usuarios que intentan enviar dinero descubrieron que sus transacciones se estaban redirigiendo a una billetera controlada por atacantes y que no había ningún signo visible de intervención.
El ataque se aprovechó de una técnica que es sutil y se está volviendo cada vez más popular: en lugar de tomar directamente los paquetes de código abierto upstream, los actores maliciosos están aplicando parches a software legítimo que ya está instalado en el sistema de la víctima, insertando así código malicioso en entornos locales.
El paquete pdf-to-office apareció por primera vez en npm en marzo de 2025 y se publicaron múltiples versiones de manera consecutiva. La última versión, 1.1.2, se lanzó el 1 de abril. Investigadores de RL detectaron el paquete utilizando un análisis de comportamiento centrado en el aprendizaje automático de la plataforma Spectra Assure. Se descubrió que el código contenía JavaScript oculto, que es una bandera roja común en las campañas de malware recientes de npm.
Era notable que los efectos continuaban incluso después de que el paquete malicioso fue eliminado. Después de que los monederos Web3 fueron parches, simplemente eliminar el paquete npm falso no eliminó el peligro. Las víctimas tenían que desinstalar y reinstalar completamente sus aplicaciones de monedero para eliminar los componentes troyanos y restablecer la integridad del monedero.