Ataque malicioso de paquetes NPM en el ecosistema de Solana, se roban las llaves privadas de los usuarios

A principios de julio de 2025, se produjo un grave incidente de seguridad en el ecosistema de Solana. Un usuario, tras usar un proyecto de código abierto alojado en GitHub, descubrió que sus activos criptográficos habían sido robados. Tras la investigación del equipo de seguridad, se determinó que el incidente se originó en un paquete NPM malicioso cuidadosamente disfrazado.

La investigación encontró que este proyecto llamado "solana-pumpfun-bot" parece normal, con un alto número de estrellas y bifurcaciones. Sin embargo, el tiempo de envío de su código es anómalo y carece de características de actualización continua. Este proyecto depende de un paquete de terceros sospechoso llamado "crypto-layout-utils", el cual ha sido retirado de NPM oficialmente.

Un análisis más detallado revela que los atacantes redirigen a los usuarios a una versión maliciosa alojada en GitHub al reemplazar los enlaces de descarga en el archivo package-lock.json. Esta versión está altamente ofuscada y su función principal es escanear archivos sensibles en la computadora del usuario, especialmente aquellos relacionados con billeteras de criptomonedas y Llave privada, y subir esta información a un servidor controlado por los atacantes.

Los atacantes también adoptaron la estrategia de colaboración de múltiples cuentas, aumentando la credibilidad del proyecto a través de un gran número de operaciones de Fork y Star, ampliando el alcance de las víctimas. Además de "crypto-layout-utils", se descubrió otro paquete malicioso llamado "bs58-encrypt-utils" que participó en esto.

Este método de ataque combina la ingeniería social y el engaño técnico, teniendo una fuerte capacidad de ocultación y engaño. No solo está dirigido a usuarios individuales, sino que también puede representar una amenaza para las organizaciones internas. Los expertos en seguridad aconsejan que los desarrolladores y usuarios mantengan una alta vigilancia al usar proyectos de GitHub de origen desconocido, especialmente en escenarios que involucren operaciones sensibles. Si es necesario depurar, es mejor hacerlo en un entorno seguro aislado.

Este evento destaca una vez más los desafíos de seguridad que enfrenta la comunidad de código abierto. Nos recuerda que, mientras disfrutamos de las comodidades del código abierto, también debemos mantenernos alerta ante los riesgos de seguridad potenciales. Para el ecosistema de Solana, esto es sin duda un llamado de atención, instando a todas las partes a fortalecer la conciencia de seguridad y mejorar las medidas de protección.