Actores de amenazas han lanzado una nueva ola de ciberataques dirigidos a titulares de cripto, específicamente apuntando a usuarios de carteras Atomic y Exodus a través de paquetes de software malicioso subidos a plataformas de codificación.
Investigadores de seguridad advierten que el malware, incrustado en paquetes de npm comúnmente utilizados como pdf-to-office, está diseñado para recolectar claves privadas manipulando archivos de carteras locales.
Según un análisis de ReversingLabs, el código malicioso se presenta como software legítimo, pero una vez instalado, modifica astutamente la interfaz de usuario de las carteras Atomic y Exodus. Esta manipulación engaña a los usuarios para que envíen fondos a direcciones controladas por los atacantes, redirigiendo efectivamente las transacciones sin ser detectadas.
Este tipo de ataque a la cadena de suministro de software destaca una tendencia cada vez más peligrosa en el espacio cripto, donde los hackers infiltran entornos de desarrollo para llevar a cabo explotaciones a nivel de infraestructura.
La escala de tales ataques sigue creciendo. Solo en el primer trimestre de 2025, la firma de ciberseguridad Hacken estima que los hacks y explotaciones relacionados a cripto resultaron en pérdidas superiores a $2 mil millones. Un asombroso $1.4 mil millones de esa cifra provino del hack de Bybit en febrero - actualmente el más grande en la historia del cripto.
Tras el incidente, SafeWallet - un proveedor de carteras implicado en la brecha - compartió un pormenorizado análisis en marzo de 2025. Los investigadores revelaron que los hackers comprometieron la computadora de un desarrollador y secuestraron tokens de sesión de AWS para infiltrar los sistemas internos de SafeWallet y orquestar el robo de Bybit.
Mientras tanto, otra táctica engañosa que está ganando terreno es la estafa de "envenenamiento de direcciones". El director de seguridad de Casa y célebre cypherpunk, Jameson Lopp, recientemente expresó preocupaciones sobre esta sutil pero efectiva explotación.
En estos ataques, los estafadores generan direcciones de carteras que se asemejan visualmente a las del historial de transacciones de una víctima - típicamente imitando los primeros y últimos caracteres. Luego se envía una pequeña transacción a la víctima para implantar la dirección falsa en su historial. Si el usuario reutiliza esta dirección sin saberlo, sus fondos son redirigidos al atacante.
Cyvers, una firma de ciberseguridad que monitorea amenazas a la blockchain, informó que solo el envenenamiento de direcciones resultó en más de $1.2 millones robados en cripto durante marzo de 2025.
A medida que los actores de amenazas evolucionan sus métodos, desde manipular herramientas de desarrollo hasta explotar hábitos del usuario, los profesionales de ciberseguridad están llamando a una vigilancia intensificada en todos los frentes del ecosistema cripto.