Los investigadores de ciberseguridad han descubierto dos nuevos paquetes maliciosos en el registro npm que utilizan contratos inteligentes para que la cadena de bloques de Ethereum lleve a cabo acciones maliciosas en los sistemas comprometidos, lo que indica la tendencia de los actores de amenazas a buscar constantemente nuevas formas de distribuir malware y pasar desapercibidos.

«Los dos paquetes npm abusaron de los contratos inteligentes para ocultar comandos maliciosos que instalaban malware de descarga en sistemas comprometidos», dijo Lucija Valentić, investigadora de ReversingLabs dijo en un informe compartido con The Hacker News.

Los paquetes, ambos cargados en npm en julio de 2025 y que ya no están disponibles para su descarga, se enumeran a continuación:

La empresa de seguridad de la cadena de suministro de software dijo que las bibliotecas son parte de una campaña más amplia y sofisticada que afecta tanto a npm como a GitHub, engañando a desarrolladores desprevenidos para que las descarguen y ejecuten.

Si bien los paquetes en sí mismos no hacen ningún esfuerzo por ocultar su funcionalidad maliciosa, ReversingLabs señaló que los proyectos de GitHub que importaron estos paquetes se esforzaron por hacerlos parecer creíbles.

En cuanto a los paquetes en sí, el comportamiento nefasto se activa una vez que alguno de ellos se usa o se incluye en algún otro proyecto, lo que hace que busque y ejecute una carga útil de la siguiente etapa desde un servidor controlado por un atacante.

Si bien esto es normal en lo que respecta a los descargadores de malware, lo que más destaca es el uso de contratos inteligentes de Ethereum para organizar las URL que alojan la carga útil, una técnica que recuerda a Ocultación de éter . El cambio subraya las nuevas tácticas que los actores de amenazas están adoptando para evadir la detección.

Una investigación más profunda sobre los paquetes ha revelado que están referenciados en una red de repositorios de GitHub que afirman ser un solana-trading-bot-v2 que aprovecha «datos en cadena en tiempo real para ejecutar operaciones automáticamente, lo que le ahorra tiempo y esfuerzo». La cuenta de GitHub asociada al repositorio ya no está disponible.

Se considera que estas cuentas forman parte de una oferta de distribución como servicio (DaaS) denominada Red fantasma de Stargazers , que hace referencia a un grupo de cuentas falsas de GitHub que se sabe que marcan como estrellas, bifurcan, observan, confirman y se suscriben a repositorios maliciosos para aumentar artificialmente su popularidad.

Entre esas confirmaciones se incluyen los cambios en el código fuente para importar colortoolsv2. Algunos de los otros repositorios que han sido descubiertos al lanzar el paquete npm son ethereum-mev-bot-v2, arbitrage-bot e hyperliquid-trading-bot.

El nombre de estos repositorios de GitHub sugiere que los desarrolladores y usuarios de criptomonedas son el objetivo principal de la campaña, utilizando una combinación de ingeniería social y engaño.

«Es fundamental que los desarrolladores evalúen cada biblioteca que están considerando implementar antes de decidir incluirla en su ciclo de desarrollo», dijo Valentić. «Y eso significa ir más allá del número de desarrolladores, confirmaciones y actualizaciones de los paquetes de código abierto y evaluar si un paquete determinado (y los desarrolladores que lo respaldan) es lo que se presenta a sí mismo».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.