Microsoft detecta malware ladrón de criptomonedas en paquetes de npm

TL;DR Microsoft identificó dos paquetes comprometidos en npm que distribuían de forma encubierta malware capaz de robar credenciales de monederos de criptomonedas, registrar pulsaciones, capturar pantallas y recopilar otra información sensible. Los atacantes habrían utilizado repositorios de Hugging Face para exfiltrar los datos robados, dificultando la detección. El hallazgo subraya el aumento del riesgo en la cadena de suministro de software para desarrolladores y refuerza la necesidad de buenas prácticas de autocustodia y de verificación de dependencias de terceros. Microsoft ha destapado una nueva campaña de malware dirigida a desarrolladores mediante paquetes de npm comprometidos, un episodio que vuelve a poner el foco en la seguridad de la cadena de suministro. El código malicioso se ocultaba dentro de herramientas con apariencia legítima y estaba diseñado para sustraer información sensible, incluidas credenciales de monederos de criptomonedas. Según Microsoft Threat Intelligence, los paquetes afectados, utilsterminal@3.2.1 y loggeractive@3.2.1, distribuían un troyano de acceso remoto (RAT) con capacidad para recoger pulsaciones de teclado, capturas de pantalla, credenciales de inicio de sesión y datos relacionados con criptoactivos en los sistemas infectados. Dado que npm es uno de los mayores registros de software del mundo, un paquete comprometido puede acabar llegando a un volumen elevado de desarrolladores que instalan dependencias infectadas sin saberlo. El caso resulta especialmente relevante para usuarios de criptomonedas y desarrolladores de blockchain. Las máquinas de desarrollo suelen contener monederos en el navegador, credenciales de API, tokens de acceso a la nube y repositorios de código vinculados a proyectos de activos digitales. Si un atacante accede a esos recursos, puede comprometer monederos, infraestructura de desarrollo o sistemas automatizados de trading. Microsoft indicó que el malware empleaba repositorios de Hugging Face como parte de su estrategia de exfiltración. Al canalizar la información robada a través de una plataforma de IA ampliamente confiable, los atacantes reducían la probabilidad de que su actividad levantara alertas de inmediato en los sistemas de monitorización. El incidente encaja con una tendencia más amplia: los ciberdelincuentes están priorizando ataques a la cadena de suministro frente a campañas directas contra usuarios individuales. En lugar de atacar a las víctimas una a una, buscan comprometer herramientas y dependencias de uso común para abrir la puerta a un grupo mucho mayor de objetivos potenciales. La última detección se suma a varias campañas recientes centradas en desarrolladores de criptomonedas y de inteligencia artificial. Investigadores de seguridad ya habían localizado paquetes maliciosos en los ecosistemas de npm, PyPI y Rust que intentaban capturar credenciales de monederos, claves SSH y credenciales de acceso a la nube. Estos ataques elevan el riesgo para usuarios y equipos, pero no evidencian fallos en las redes blockchain: en la mayoría de los casos se enfocan en robar credenciales en endpoints y dispositivos, no en romper los fundamentos criptográficos que protegen los activos digitales. Microsoft recomienda revisar los paquetes instalados, eliminar dependencias sospechosas, rotar credenciales potencialmente expuestas y vigilar la actividad de los monederos para detectar transacciones no autorizadas. Especialistas en seguridad también aconsejan guardar las seed phrases sin conexión y verificar cuidadosamente el origen del software antes de instalarlo.