Comprar criptomonedas
Pagar con
USD
USD
Compra y venta
HOT
Compra y vende criptomonedas a travésde Apple Pay, tarjetas, Google Pay, transferencias bancarias y más
P2P
0 Fees
¡Cero tarifas, más de 400 opciones de pago y compra y venta de criptomonedas sin complicaciones!
Gate Card
Tarjeta de pago con criptomonedas que permite efectuar transacciones internacionales fácilmente
Mercados
Operar
Tipo de trading
Herramientas de trading
Contrato
Contrato
Cientos de contratos liquidados en USDT o BTC
Opciones
HOT
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Comienzo del trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Participa en eventos para ganar generosas recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Earn
Lanzamiento
Inversión
Comunidad
Square
Comparte tu publicación y mantente al tanto de las criptomonedas y mucho más
Livemoments live
Análisis del mercado de criptomonedas en tiempo real
Chat
Chatea con traders de criptomonedas
Noticias
Lo que está ocurriendo en el mundo de las criptomonedas
rewards hub
Web3
Más
Promociones
Guía para principiantes
rewards hub
Centro de Recompensas
Plaza
Más recientes
Populares
Noticias
Perfil

El ataque de cadena de suministro en JavaScript amenaza la seguridad de las criptomonedas en millones de aplicaciones

retroactive_airdropvip

Un ataque histórico a la cadena de suministro que afecta a bibliotecas de JavaScript ampliamente utilizadas ha expuesto vulnerabilidades críticas de seguridad en todo el ecosistema de las criptomonedas, poniendo potencialmente en riesgo miles de millones en activos digitales. El sofisticado ataque, que comprometió 18 paquetes npm populares, incluidas bibliotecas esenciales como chalk, debug y ansi-styles, representa una de las violaciones más significativas de la cadena de suministro de software en la historia reciente.

Metodología de Ataque e Impacto

Los investigadores de seguridad descubrieron que los atacantes obtuvieron acceso a la cuenta de npm (Node Package Manager) de un desarrollador prominente, lo que les permitió inyectar código malicioso en bibliotecas de JavaScript que, en conjunto, reciben más de 2.6 mil millones de descargas semanales. Estos paquetes comprometidos sirven como componentes fundamentales para millones de aplicaciones en plataformas web y móviles.

El malware apunta específicamente a las transacciones de criptomonedas a través de una técnica conocida como "crypto-clipping" - interceptando y modificando silenciosamente las direcciones de las billeteras durante las transacciones para redirigir los fondos a direcciones controladas por los atacantes. Este sofisticado malware opera en múltiples redes de blockchain, explotando la confianza que los desarrolladores depositan en las dependencias de código abierto.

"Cuando los desarrolladores instalan sin saber paquetes npm comprometidos, el código malicioso obtiene acceso al mismo contexto de ejecución de JavaScript que las billeteras de criptomonedas, lo que permite ataques sofisticados de manipulación de transacciones," explicaron los investigadores de seguridad que investigan la violación.

Vulnerabilidad Técnica Explicada

El ataque explota las relaciones de confianza inherentes en el ecosistema de npm, donde pequeños paquetes de utilidad como chalk, strip-ansi y color-convert forman la base de innumerables proyectos más grandes. Estas bibliotecas están profundamente integradas en los árboles de dependencias, lo que significa que incluso los desarrolladores que no las han instalado directamente pueden estar expuestos al código comprometido.

El registro de npm funciona de manera similar a una tienda de aplicaciones para desarrolladores, sirviendo como un repositorio central donde se pueden compartir y descargar paquetes de código para construir proyectos de JavaScript. Este modelo de distribución centralizada, aunque eficiente para el desarrollo, crea un vector perfecto para ataques a la cadena de suministro cuando se ve comprometido.

Evaluación de Riesgo del Usuario

Los usuarios que dependen principalmente de monederos de software integrados con aplicaciones basadas en JavaScript enfrentan el mayor riesgo de este ataque. El código malicioso puede operar silenciosamente en segundo plano, interceptando las comunicaciones del monedero y modificando los detalles de las transacciones sin indicadores visibles de compromiso.

Los usuarios de carteras de hardware que confirman físicamente los detalles de la transacción antes de firmar tienen una protección significativa contra este vector de ataque, ya que la manipulación de la dirección de la cartera sería visible durante el proceso de confirmación. Sin embargo, no está claro si el malware también intenta cosechar directamente frases semilla o claves privadas.

Estrategias de Mitigación de Seguridad

Los expertos en seguridad recomiendan varias acciones inmediatas para desarrolladores y usuarios de criptomonedas:

  1. Auditar los árboles de dependencias en todos los proyectos para los paquetes y versiones afectados
  2. Implementar la verificación de integridad para todos los paquetes npm en las tuberías de desarrollo
  3. Utilizar soluciones de monitoreo en tiempo real capaces de detectar comportamientos sospechosos
  4. Para los usuarios de criptomonedas, siempre verifique las direcciones de las billeteras a través de múltiples canales antes de confirmar las transacciones
  5. Considera implementar soluciones avanzadas de seguridad en la cadena de suministro de software que puedan detectar dependencias maliciosas

El ataque destaca la vulnerabilidad crítica en los ecosistemas de código abierto y demuestra cuán rápidamente los ataques sofisticados pueden propagarse, desde el compromiso inicial hasta afectar potencialmente a miles de millones de descargas en cuestión de horas.

A medida que esta situación continúa desarrollándose, los investigadores de seguridad están analizando activamente el alcance completo de las aplicaciones afectadas y la posible explotación en la naturaleza.

Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
  • Recompensa
  • Comentar
  • Republicar
  • Compartir
Comentar
0/400
Sin comentarios
  • Anclado
Mapa del sitio
Opera con criptomonedas en cualquier momento y lugar
qrCode
Escanee para descargar la aplicación Gate
Comunidad
Español
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Acerca de nosotrosEmpleoNewsroomPatrocinador de Oracle Red Bull RacingSocio oficial del Inter de MilánAcuerdo de usuarioAdvertencia de riesgosPolítica de privacidadPolítica de cookiesKit de mediosPrueba de ReservasLicenciaSeguridadGateToken (GT)GUSDGate ChainEventos de GateAplicación de la leyCumbresGate Ventures
    Trading de spotTrading de futurosAlphaMargenTokens apalancadosNFTGate PayGate LifeTarjeta de regaloGate OTCGate CharityTienda GateGate Wallet
    Ventajas VIPInstitucionalComentarios de los usuariosAnuncioTarifasAyudaEnviar una solicitudListadoSeguridad de los contratos inteligentesDesarrolladoresBúsqueda de verificaciónSolicitud de comerciante P2PPrograma de afiliadosCalendario criptoSolución de interoperabilidad de Gate
    Gate LearnCursos de criptomonedasGlosario sobre criptomonedasPrecios de criptomonedasMacrodatosReducción a la mitad del bitcoinCrypto WikiCalculadora cripto
    Gate © 2013-2025.