La $3B Amenaza: Cómo el malware en bibliotecas de código ahora apunta a contratos inteligentes de Ethereum

El ecosistema de criptomonedas enfrenta una crisis en aumento, ya que la firma de ciberseguridad ReversingLabs reveló un vector de ataque sofisticado: los actores de amenazas están weaponizando paquetes open-source de NPM para inyectar malware directamente en contratos inteligentes de Ethereum. Este descubrimiento marca una evolución peligrosa en los ataques a la cadena de suministro contra la infraestructura blockchain.

La vulnerabilidad creciente de DeFi: El $3B Daño en 2025

La escala de la amenaza es asombrosa. Según los análisis de blockchain de Global Ledger, los hackers han logrado robar exitosamente $3 mil millones en 119 incidentes separados durante la primera mitad de 2025, un aumento del 150% en comparación con todo el año 2024. El daño refleja lo interconectados que se han vuelto los protocolos DeFi, convirtiéndolos en objetivos fáciles para ataques coordinados que explotan vulnerabilidades compartidas.

Un caso destacado subraya este riesgo: en julio, los atacantes comprometieron el contrato Rebalancer de Arcadia Finance en la blockchain Base, drenando 2,5 millones de dólares mediante la manipulación de parámetros de intercambio. Este incidente demostró que incluso los protocolos establecidos enfrentan una exposición significativa cuando existen brechas de seguridad.

La campaña de malware en NPM: Cómo Zanki y ReversingLabs descubrieron el ataque

La investigación del experto de ReversingLabs, Karlo Zanki, a principios de julio reveló un patrón inquietante. Los actores de amenazas estaban disfrazando código malicioso dentro de paquetes NPM aparentemente legítimos, siendo las variantes más peligrosas colortoolsv2 y mimelib2, ambos subidos en julio.

Estos paquetes operan mediante una estructura de dos archivos diseñada para máxima clandestinidad. El componente principal, un script llamado index.js, contiene cargas útiles maliciosas ocultas que se activan una vez instaladas en el proyecto de un desarrollador. Lo que hace que esta campaña sea sin precedentes es el mecanismo de entrega: el malware no utiliza servidores tradicionales de comando y control, sino que aprovecha los contratos inteligentes de Ethereum para almacenar y recuperar URLs para descargar malware de segunda etapa.

Este enfoque evita los escaneos de seguridad convencionales al explotar la inmutabilidad y la naturaleza distribuida de la blockchain como capa de ofuscación.

El bot falso de Solana: Cómo la legitimidad fabricada engañó a los desarrolladores

Los investigadores descubrieron un repositorio comprometido en GitHub etiquetado como solana-trading-bot-v2 que contenía el paquete malicioso colortoolsv2. El repositorio parecía confiable para observadores casuales: contaba con miles de commits, múltiples colaboradores activos y un número sustancial de estrellas, pero cada indicador de legitimidad fue construido artificialmente.

Cualquier desarrollador que instalara este paquete otorgaría sin saberlo acceso a los atacantes a las billeteras de los usuarios, potencialmente drenando todos los fondos conectados. Este ataque combina tres capas de engaño: un repositorio falso-legítimo, código de malware ofuscado y entrega de comandos basada en blockchain.

Por qué los contratos inteligentes se convirtieron en infraestructura de ataque

La innovación aquí representa un cambio en la metodología de los atacantes. En lugar de mantener infraestructura C2 tradicional vulnerable a ser derribada, los actores de amenazas ahora usan contratos inteligentes de Ethereum como redes de distribución de malware permanentes y resistentes a la censura. La naturaleza descentralizada de la blockchain garantiza que estos centros de comando permanezcan operativos independientemente de la intervención de las autoridades.

Según Slava Demchuk, CEO de AMLBot, las vulnerabilidades en el control de acceso y los defectos en el diseño de los contratos inteligentes siguen siendo los vectores de ataque principales. La arquitectura componible de los protocolos DeFi amplifica el daño, permitiendo a los atacantes encadenar exploits en múltiples plataformas simultáneamente.

El evento de extinción en la cadena de suministro para el que nadie está preparado

El contexto más amplio es aún más alarmante: en 2025 se ha registrado una explosión de campañas en NPM. Más allá de colortoolsv2, los investigadores documentaron los paquetes ethers-provider2 y ethers-providerz en marzo, seguidos por numerosos infostealers, descargadores y droppers descubiertos a lo largo del año.

Cada nueva variante de malware demuestra que los actores de amenazas han cambiado de dirigirse a usuarios individuales a comprometer la propia cadena de desarrollo. Un solo paquete malicioso puede infiltrarse en miles de proyectos, convirtiendo los repositorios open-source en vectores de distribución.

Lo que los desarrolladores deben hacer ahora

Los auditores de seguridad enfatizan una acción crítica: antes de integrar cualquier biblioteca externa, los desarrolladores deben realizar una evaluación exhaustiva del origen del paquete, el historial de contribuyentes y la autenticidad del código. La era de confiar en el open-source por defecto ha terminado.

Los descubrimientos de ReversingLabs muestran que los contratos inteligentes de Ethereum—originalmente diseñados como infraestructura sin confianza—se han vuelto sin confianza de una manera completamente diferente: los atacantes los están explotando como canales permanentes de distribución de malware, seguros en el conocimiento de que la inmutabilidad de la blockchain hace imposible su eliminación una vez desplegados.