Hackers ocultan malware en contratos de Ethereum para evadir la detección: La nueva frontera de ciberamenazas en 2025
Los atacantes ahora emboscan código malicioso directamente en smart contracts—y las firmas de seguridad tradicionales no lo detectan.
¿Cómo funcionan estos contratos fantasma?
Despliegan técnicas de ofuscación que convierten el código legítimo en un rompecabezas indescifrable. Los analizadores estáticos pasan de largo mientras el malware permanece latente hasta que se ejecutan funciones específicas.
El sector DeFi sigue siendo el objetivo principal—porque donde hay millones en liquidez, los hackers siempre encuentran la manera de sacar provecho. Clásico: la avaricia supera a la seguridad cada vez.
Esto no es solo otro bug de software—es un cambio total de juego en la guerra cibernética de las criptomonedas.
En resumen
- Los atacantes ahora usan contratos inteligentes de Ethereum para ocultar malware en bibliotecas de código abierto.
- Paquetes maliciosos de npm recuperan cargas útiles vía blockchain, evadiendo defensas tradicionales.
- Repositorios falsos de GitHub amplifican ataques, alternando dependencias para propagar infecciones ampliamente.
Cómo funcionó el ataque
La campaña se dirigió principalmente a Node Package Manager (npm), una plataforma que aloja millones de paquetes JavaScript. Dos paquetes sospechosos, “colortoolsv2” y “mimelib2,” surgieron en julio y sirvieron como portadores del código malicioso.
En lugar de incrustar enlaces directamente dentro del paquete, el malware ejecutaba scripts ofuscados que consultaban contratos de Ethereum para recuperar la ubicación de la carga útil. En consecuencia, este método complicó los sistemas tradicionales de detección que normalmente marcan dominios maliciosos codificados.
Una vez que el script accedió al contrato inteligente, dirigió al paquete infectado para descargar un componente secundario de malware. Este diseño permitió a los atacantes mantener flexibilidad cambiando las ubicaciones de la carga útil en la blockchain, sin alterar el paquete npm en sí.
Además, la campaña usó repositorios temáticos de criptomonedas en GitHub llenos de estrellas falsas y commits generados para parecer legítimos, atrayendo a desarrolladores incautos a integrar los paquetes.
gráfico ETHUSDT por TradingViewCampaña más amplia a través de plataformas de código abierto
Los investigadores de ReversingLabs descubrieron que los paquetes maliciosos de npm formaban parte de una campaña más extensa que se extendía a proyectos de GitHub. Repositorios falsos como “solana-trading-bot-v2” intentaron establecer credibilidad mediante commits automatizados y actividad comunitaria escenificada. Detrás de la fachada, los atacantes rotaban silenciosamente dependencias maliciosas bajo diferentes nombres, propagando la infección en múltiples proyectos.
Además, este ataque siguió incidentes anteriores detectados por firmas de seguridad donde npm y GitHub fueron explotados para impulsar bots de trading fraudulentos y utilidades cripto. Por lo tanto, la última campaña marca una evolución preocupante, mostrando que los actores de amenazas no solo abusan de la confianza del código abierto sino que también integran tecnología blockchain en sus cadenas de ataque.
¡Maximiza tu experiencia en Cointribune con nuestro programa "Read to Earn"! Por cada artículo que leas, gana puntos y accede a recompensas exclusivas. Regístrate ahora y comienza a acumular beneficios.
