El CTO de Ledger, Charles Guillemet, advirtió el lunes que está en marcha un ataque a gran escala a la cadena de suministro de software que apunta a paquetes NPM utilizados en todo el ecosistema de JavaScript a nivel mundial.
El CTO de Ledger advierte sobre un ataque de cadena de suministro de NPM a gran escala; insta a verificar direcciones
ESCRITO POR
COMPARTIR
‘Potencialmente Todas las Cadenas’: El CTO de Ledger Advierte Tras el Hackeo de Cuenta de Desarrollador de NPM
Ledger‘s Guillemet dijo en X que la cuenta NPM de un desarrollador reputado fue comprometida y que los paquetes afectados han sido descargados más de 1 mil millones de veces, generando preocupaciones de exposición para los desarrolladores.
“Hay un ataque a gran escala a la cadena de suministro en progreso… todo el ecosistema de JavaScript podría estar en riesgo,” escribió en X, agregando que el código malicioso “cambia silenciosamente direcciones de criptomonedas al vuelo para robar fondos.”
Aconsejó a las personas que no usan una cartera de hardware que se abstengan de realizar transacciones en la cadena por ahora, y urgió a todos los usuarios a revisar los detalles de las transacciones antes de firmar. Dijo que aún no está claro si el atacante está robando frases semilla de carteras de software.
“Para los usuarios de Ledger u otras carteras de hardware con firma clara, no están en riesgo,” agregó Guillemet, enfatizando que la firma clara y la verificación manual protegen contra el malware que cambia direcciones.
Varios medios de seguridad también informaron sobre compromisos de cuentas NPM en curso afectando paquetes muy utilizados, y algunos describen esta campaña como una de las más grandes de su tipo hasta la fecha. Guillemet dijo que el impacto podría abarcar “potencialmente todas las cadenas.”
