Cinco paquetes npm maliciosos apuntan a desarrolladores de criptomonedas y extraen claves de billetera a través de Telegram

La comunidad de desarrollo de criptomonedas se enfrenta a una grave amenaza a la cadena de suministro después de que se descubrieran cinco paquetes npm maliciosos que robaban claves de billeteras privadas y las reenviaban directamente a un bot de Telegram. Publicados bajo la cuenta npm "galedovan", estos paquetes fueron diseñados para parecerse a bibliotecas confiables en las que los desarrolladores de Solana y Ethereum confían todos los días.

Una vez instalados, funcionan silenciosamente en segundo plano, capturando material clave y enviándolo a un atacante sin provocar ningún error visible. Cuatro paquetes (raydium-bs58, base-x-64, bs58-basic y base_xd) persiguen a los desarrolladores de Solana interceptando llamadas Base58 decode(), la forma estándar de cargar un par de claves desde una cadena de clave privada. En ambos casos, la clave viaja como texto sin formato a un grupo de Telegram antes de que finalice la función legítima, lo que le brinda al atacante acceso inmediato para vaciar cualquier billetera conectada. Los investigadores de Socket.dev identificaron los cinco paquetes como parte de una campaña coordinada de typosquatting, y observaron que cada uno estaba vinculado a la misma cuenta npm y usaba el mismo punto final del bot de Telegram codificado para la exfiltración.

El atacante envuelve una función a través de la cual los desarrolladores pasan regularmente claves privadas, intercepta la clave en el momento en que llega, la envía a un bot de Telegram y luego devuelve el control a la función original para que todo parezca funcionar normalmente. La publicación Cinco paquetes npm maliciosos apuntan a desarrolladores de cifrado y extraen claves de billetera a través de Telegram apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗