Bitget App
Trading Inteligente
Comprar criptoMercadosTradingFuturosEarnCentroMás
Bitget
Novedades
El compromiso de la cadena de suministro de NPM podría exponer fondos cripto a malware de intercambio de direcciones, según el CTO de Ledger

El compromiso de la cadena de suministro de NPM podría exponer fondos cripto a malware de intercambio de direcciones, según el CTO de Ledger

CoinotagCoinotag2025/09/08 21:25
Mostrar el original
Por:Marisol Navaro








La explotación de la cadena de suministro de NPM es una vulneración a gran escala de paquetes de JavaScript reputados que puede intercambiar silenciosamente direcciones cripto durante transacciones y robar fondos. Los usuarios deben evitar firmar transacciones, auditar los paquetes integrados y actualizar o eliminar los módulos afectados de inmediato para reducir la exposición.

  • El intercambio malicioso de direcciones en billeteras web apunta a transacciones cripto.

  • Los paquetes comprometidos incluyen módulos NPM ampliamente utilizados como “color-name” y “color-string”.

  • Los paquetes afectados han sido descargados más de 1.1 billones de veces, aumentando la exposición cross-chain.

Explotación de la cadena de suministro de NPM: DEJÁ de firmar transacciones ahora—verificá los paquetes y asegurá tus billeteras. Conocé los pasos inmediatos de protección.

¿Qué es la explotación de la cadena de suministro de NPM?

La explotación de la cadena de suministro de NPM es una vulneración de cuentas de desarrolladores reputados que inyecta un payload malicioso en paquetes de JavaScript. El payload puede intercambiar silenciosamente direcciones de criptomonedas en billeteras web y dApps, poniendo en riesgo fondos a través de múltiples cadenas.

¿Cómo se comprometieron los paquetes de JavaScript?

Investigadores de seguridad y expertos de la industria reportaron que una cuenta de desarrollador reputada en NPM fue vulnerada, permitiendo a los atacantes publicar actualizaciones contaminadas. El código malicioso está diseñado para ejecutarse en contextos de navegador utilizados por sitios cripto y puede cambiar direcciones de destino en el momento de la transacción.


¿Qué paquetes y componentes están afectados?

Firmas de seguridad blockchain identificaron alrededor de dos docenas de paquetes NPM populares afectados, incluyendo módulos utilitarios pequeños como “color-name” y “color-string”. Debido a que NPM es un gestor central de paquetes para JavaScript, muchos sitios web y proyectos front-end incorporan estas dependencias de manera transitiva.

Resumen del riesgo reportado por paquete Paquete Descargas reportadas Nivel de riesgo
color-name Cientos de millones Alto
color-string Cientos de millones Alto
Otros módulos utilitarios (colectivo) Más de 1.1 billones en total Crítico

¿Cómo pueden los usuarios cripto proteger sus fondos ahora mismo?

Pasos inmediatos: dejá de firmar transacciones en billeteras web, desconectá las billeteras del navegador de las dApps y evitá interactuar con sitios que dependan de JavaScript no verificado. Validá la integridad de los paquetes en entornos de desarrollo y aplicá reglas estrictas de Content Security Policy (CSP) en los sitios que controlás.

¿Qué precauciones deben tomar los desarrolladores?

Los desarrolladores deben fijar las versiones de las dependencias, verificar las firmas de los paquetes donde estén disponibles, ejecutar herramientas de escaneo de la cadena de suministro y auditar las actualizaciones recientes de los paquetes. Volver a versiones conocidas como seguras y reconstruir desde lockfiles puede reducir la exposición. Usá builds reproducibles y verificación independiente para librerías críticas de front-end.



Preguntas frecuentes

¿Qué tan inminente es la amenaza para los usuarios cripto comunes?

La amenaza es inmediata para usuarios que interactúan con billeteras web o dApps que cargan JavaScript desde paquetes públicos. Si un sitio depende de los módulos contaminados, el código de intercambio de direcciones puede ejecutarse en el navegador durante los flujos de transacción.

¿Quién identificó la vulneración y qué dijeron?

El CTO de Ledger, Charles Guillemet, señaló públicamente el problema, destacando la escala y el mecanismo de intercambio de direcciones. Firmas de seguridad blockchain también reportaron los módulos afectados. Estas observaciones provienen de publicaciones públicas y avisos de seguridad reportados por expertos de la industria.

Puntos clave

  • Dejá de firmar transacciones: Evitá firmar en billeteras web hasta que los paquetes sean verificados.
  • Auditá las dependencias: Los desarrolladores deben fijar, firmar y escanear los paquetes NPM utilizados en el código front-end.
  • Usá medidas defensivas: Desconectá billeteras, limpiá sesiones y empleá CSP y herramientas de escaneo de la cadena de suministro.

Conclusión

La explotación de la cadena de suministro de NPM demuestra cómo pequeños paquetes utilitarios pueden representar un riesgo sistémico para los usuarios cripto al permitir la sustitución silenciosa de direcciones. Mantené una postura defensiva: dejá de firmar transacciones, auditá las dependencias y seguí los avisos verificados. COINOTAG actualizará este informe a medida que se publiquen más detalles técnicos confirmados y soluciones (publicado el 2025-09-08).

Por si te lo perdiste: Los flujos de Ethereum ETF y el interés abierto en CME podrían señalar la maduración del mercado y un posible resurgimiento de la demanda
0

Descargo de responsabilidad: El contenido de este artículo refleja únicamente la opinión del autor y no representa en modo alguno a la plataforma. Este artículo no se pretende servir de referencia para tomar decisiones de inversión.

PoolX: Haz staking y gana nuevos tokens.
APR de hasta 12%. Gana más airdrop bloqueando más.
¡Bloquea ahora!

También te puede gustar

El Salvador revela la mayor compra diaria de BTC por 100 millones de dólares mientras bitcoin cae más bajo

La Oficina de Bitcoin de El Salvador mostró que compró 1.090 BTC el lunes, llevando sus tenencias totales a 7.474 BTC. Sin embargo, no está claro si El Salvador compró esos 1.090 BTC en el mercado, ya que su acuerdo con el FMI requería que el país dejara de hacer nuevas compras.

The Block2025/11/18 04:11
El Salvador revela la mayor compra diaria de BTC por 100 millones de dólares mientras bitcoin cae más bajo

La prueba definitiva para Powell: al menos tres disidentes en la reunión de diciembre, ¡el consenso de la Reserva Federal se derrumba!

Un artículo del “portavoz de la Fed” señala que, en medio de la falta de datos, la división interna en la Reserva Federal se está intensificando. Los tres miembros designados por Trump apoyan una política monetaria más flexible, mientras tanto, el grupo de línea dura se ha expandido recientemente.

Jin102025/11/18 03:20
Bitget Informe Diario (18 de noviembre)|El ETF spot de Solana de Fidelity se lanza esta noche en el mercado de la Costa Este de EE.UU.; Las empresas que cotizan en bolsa a nivel mundial compraron netamente más de 847 millones de dólares en BTC la semana pasada; Los tres principales índices bursátiles estadounidenses cerraron a la baja en conjunto.

Selección de los temas más populares de la semana: ¡La desaparición de datos no impide que la Reserva Federal mantenga su postura agresiva! Los activos múltiples a nivel global sufren un “golpe inesperado”

El cierre del gobierno estadounidense ha terminado, pero la publicación de datos clave sigue siendo caótica. La Reserva Federal envió señales agresivas, lo que provocó fuertes caídas en oro, acciones y divisas el viernes. Estados Unidos lanzó la operación "Southern Spear". Buffett publicó su carta de despedida, mientras que el "gran bajista" se retiró rápidamente... ¿Qué movimientos de mercado emocionantes te perdiste esta semana?

Jin102025/11/18 02:55
Selección de los temas más populares de la semana: ¡La desaparición de datos no impide que la Reserva Federal mantenga su postura agresiva! Los activos múltiples a nivel global sufren un “golpe inesperado”

En tendencia

Más
1

El Salvador revela la mayor compra diaria de BTC por 100 millones de dólares mientras bitcoin cae más bajo

2

La prueba definitiva para Powell: al menos tres disidentes en la reunión de diciembre, ¡el consenso de la Reserva Federal se derrumba!

Precios de las criptos

Más
Bitcoin
Bitcoin
BTC
$89,878.59
-5.69%
Ethereum
Ethereum
ETH
$2,978.12
-6.58%
Tether USDt
Tether USDt
USDT
$0.9992
-0.01%
XRP
XRP
XRP
$2.14
-5.21%
BNB
BNB
BNB
$897.43
-3.96%
USDC
USDC
USDC
$0.9997
-0.01%
Solana
Solana
SOL
$132.72
-5.46%
TRON
TRON
TRX
$0.2901
-0.97%
Dogecoin
Dogecoin
DOGE
$0.1531
-5.30%
Cardano
Cardano
ADA
$0.4622
-6.46%
Cómo vender PI
PI llega a Bitget. ¡Compra o vende PI rápidamente en Bitget!
Haz trading ahora
¿Aún no eres Bitgetter?¡Un paquete de bienvenida de 6.200 USDT para los nuevos usuarios!
Regístrate ahora
Acerca de Bitget
Acerca de Bitget Contáctanos Comunidad Carreras Academia de Bitget Blog de Bitget Bitget Token (BGB) Centro de Anuncios Prueba de Reservas Fondo de protección Links de colaboradores Asociación con LALIGA Asociación con MotoGP Blockchain4Youth Blockchain4Her Mapa del sitio
Productos
Spot Futuros Onchain Acciones Margen Earn Copy trading en spot Copy trading de futuros Copy trading con bots Bots API TraderPro Billetera Web3 OTC fiat Bitget Swap Centro de apps de Telegram Centro de Apps de Discord Biblioteca de airdrops
Comprar cripto
Comprar cripto Comprar Bitcoin Comprar ETH Comprar DOGE Comprar XRP Comprar BGB Comprar SHIB Precios de las criptos Precio de Bitcoin Precio de Ethereum Gráfico de precios de Solana Calculadora ETF de Bitcoin Crypto Wiki Precio de XRP Precio de Pi Network Precio de ADA Precio de Solana Precio de Trump coin Precio de Dogecoin Precio BRC-20
Soporte
Enviar comentarios Centro de Ayuda Verificar Canales Oficiales Centro Antiestafas Solicitud de listado Servicios VIP Programa de Afiliados Servicios institucionales Custodia de activos Descargar datos Promociones Programa de referidos Esquema de comisiones API de declaración de impuestos
Legal
Solicitudes de procedimientos legales Solicitudes regulatorias Compliance Licencias regulatorias Políticas AML/CFT Política de privacidad Términos del servicio Divulgación de riesgos
Descargar APP
© 2025 Bitget