Se ha descubierto un nuevo conjunto de cuatro paquetes maliciosos en el registro de paquetes de npm con la capacidad de robar las credenciales de las carteras de criptomonedas de los desarrolladores de Ethereum.

«Los paquetes se hacen pasar por utilidades criptográficas legítimas y Flashbots MEV infraestructura mientras extraía secretamente claves privadas y semillas mnemotécnicas a un bot de Telegram controlado por el actor de amenazas», dijo Kush Pandya, investigador de Socket dijo en un análisis.

Los paquetes fueron subidos a npm por un usuario llamado» flashbots », y la biblioteca más antigua se publicó en septiembre de 2023. La última subida tuvo lugar el 19 de agosto de 2025. Los paquetes en cuestión, todos los cuales todavía están disponibles para su descarga en el momento de escribir este artículo, se enumeran a continuación:

La suplantación de Flashbots no es casual, dado su papel en luchando la efectos adversos de máximo valor extraíble ( MEV ) en la red Ethereum, como los ataques tipo sándwich, de liquidación, de respaldo, de vanguardia y de bandoleros del tiempo.

La más peligrosa de las bibliotecas identificadas es "@flashbotts /ethers-provider-bundle», que utiliza su cobertura funcional para ocultar las operaciones maliciosas. Con el pretexto de ofrecer una compatibilidad total con la API de Flashbots, el paquete incorpora una funcionalidad sigilosa para filtrar variables de entorno a través de SMTP mediante Mailtrap.

Además, el paquete npm implementa una función de manipulación de transacciones para redirigir todas las transacciones no firmadas a una dirección de monedero controlada por un atacante y registrar los metadatos de las transacciones prefirmadas.

sdk-ethers, por Socket, es en su mayoría benigno, pero incluye dos funciones para transmitir frases iniciales mnemotécnicas a un bot de Telegram que solo se activan cuando son invocadas por desarrolladores involuntarios en sus propios proyectos.

El segundo paquete para hacerse pasar por Flashbots, flashbot-sdk-eth, también está diseñado para provocar el robo de claves privadas, mientras que gram-utilz ofrece un mecanismo modular para filtrar datos arbitrarios al chat de Telegram del actor de amenazas.

Dado que las frases iniciales mnemotécnicas sirven como «clave maestra» para recuperar el acceso a las carteras de criptomonedas, el robo de estas secuencias de palabras puede permitir a los actores de amenazas entrar en las carteras de las víctimas y obtener el control total sobre sus carteras.

La presencia de comentarios en vietnamita en el código fuente sugiere que el actor de la amenaza por motivos financieros puede ser de habla vietnamita.

Los hallazgos indican un esfuerzo deliberado por parte de los atacantes para convertir en armas la confianza asociada a la plataforma para llevar a cabo ataques a la cadena de suministro de software, sin mencionar que ocultan la funcionalidad maliciosa en medio de códigos en su mayoría inofensivos para eludir el escrutinio.

«Como los validadores, los buscadores y los desarrolladores de DeFi confían ampliamente en Flashbots, cualquier paquete que parezca ser un SDK oficial tiene muchas probabilidades de ser adoptado por los operadores que utilizan bots comerciales o administran carteras populares», señaló Pandya. «Una clave privada comprometida en este entorno puede provocar un robo de fondos inmediato e irreversible».

«Al aprovechar la confianza de los desarrolladores en los nombres de paquetes conocidos y rellenar el código malicioso con utilidades legítimas, estos paquetes convierten el desarrollo rutinario de Web3 en una vía directa para amenazar a los bots de Telegram controlados por actores».



¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.