Guerra de virus digitales en la cadena de suministro de intercambios de criptomonedas: cómo los hackers norcoreanos convierten JavaScript en herramientas de secuestro

En marzo de 2025, la comunidad global de desarrolladores descubrió un lote de paquetes de JavaScript con código malicioso incrustado, cuyo número de descargas superaba el millón. Estos componentes de código abierto aparentemente normales en realidad llevaban un programa de robo de criptomonedas diseñado por la organización de hackers norcoreanos Lazarus. Los atacantes manipularon las bibliotecas públicas en npm (gestor de paquetes de Node.js) para construir una cadena de infección digital que propagaba automáticamente código malicioso.

Desglose técnico del ataque modular

El malware se basa en una lógica central de “secuestro de dependencias”: cuando un desarrollador referencia una biblioteca de terceros contaminada en su proyecto, el código malicioso escanea automáticamente los archivos de billetera de criptomonedas almacenados localmente. Esto se logra mediante las siguientes tres capas de mecanismos para mantener el ataque oculto:

Camuflaje del entorno: el programa solo se activa al detectar una IP geográfica específica o un idioma del sistema, evitando su exposición en pruebas en sandbox;

Olfateo de claves: para billeteras de escritorio desarrolladas con el marco Electron, se aprovechan los permisos del sistema de archivos para robar las claves privadas de cifrado;

Confusión en la cadena: los activos robados se convierten en monedas privadas a través de puentes entre cadenas, y se inyectan en pools de liquidez en intercambios descentralizados para lavar el dinero.

La lógica del nuevo campo de batalla de la guerra fría digital

Este ataque ha puesto al descubierto las debilidades fatales del ecosistema de código abierto:

Ruptura en la cadena de confianza: más del 78% de los proyectos de JavaScript dependen de bibliotecas de terceros sin auditoría de seguridad, y los hackers solo necesitan comprometer una cuenta de mantenedor para contaminar toda la dependencia;

Desequilibrio en el apalancamiento económico: los activos robados se inyectan en protocolos DeFi a través de mezcladores, y finalmente terminan en empresas fantasma controladas por Corea del Norte, utilizadas para adquirir tecnologías militares y civiles;

Sistema de defensa desfasado: los antivirus tradicionales no pueden detectar comportamientos de secuestro de cifrado que se ejecutan en procesos de Node.js, y los firewalls empresariales en general carecen de detección profunda del tráfico npm.

Las tres líneas de defensa en la batalla de los desarrolladores

Para hacer frente a la escalada de los ataques a la cadena de suministro, los expertos en seguridad recomiendan implementar una estrategia de “desarrollo de confianza cero”:

Rastreo de dependencias: usar herramientas similares a Snyk para escanear el árbol de dependencias del proyecto y bloquear componentes con licencias de alto riesgo;

Monitoreo en tiempo de ejecución: desplegar sistemas de análisis de comportamiento en los pipelines de CI/CD para detectar lecturas de archivos o solicitudes de red anómalas;

Aislamiento de hardware: almacenar las claves privadas en un entorno físico separado del entorno de desarrollo, y usar HSM (módulo de seguridad de hardware) para firmar transacciones.

Esta guerra oscura contra la cadena de suministro de código marca que la guerra cibernética ha evolucionado desde la defensa y ataque tradicionales en servidores hacia ataques precisos contra las cadenas de herramientas de desarrollo. Cuando cada línea de código abierto puede convertirse en un vector de ataque de un país hostil, construir un sistema de defensa a nivel inmunológico será una cuestión clave para la supervivencia del ecosistema blockchain. **$D **$S **$PLUME **