Hackeo en NPM: más de mil millones de descargas comprometidas
Keypoints:
- Una cuenta de desarrollador de NPM fue comprometida, distribuyendo paquetes maliciosos que afectaron más de mil millones de descargas.
- El ataque redirigía fondos de criptomonedas a cuentas controladas por los atacantes, sin posibilidad de revertir las transacciones.
- Carteras de hardware ofrecen más protección, pero las de software están en mayor riesgo; se recomienda suspender operaciones on-chain.
U n ataque sin precedentes golpea al ecosistema JavaScript y a las criptomonedas: más de mil millones de descargas de paquetes maliciosos en NPM podrían poner en riesgo transacciones y proyectos en todo el mundo.
El ecosistema JavaScript y las criptomonedas enfrentan uno de los mayores incidentes de seguridad del año. A inicios de septiembre de 2025, una cuenta de desarrollador de NPM, plataforma clave para millones de proyectos, fue comprometida y utilizada para distribuir paquetes maliciosos. 
El ataque tiene un alcance sin precedentes: los paquetes afectados superan los mil millones de descargas, con la capacidad de alterar transacciones criptográficas en tiempo real.
La magnitud de la propagación evidencia cómo la confianza depositada en librerías ampliamente utilizadas puede transformarse en un vector de ataque global.
Este tipo de manipulación resulta especialmente crítico en el ámbito de las criptomonedas, ya que las operaciones firmadas no pueden revertirse. Según Charles Guillemet, CTO de Ledger, la amenaza es transversal y puede afectar a cualquier cadena de bloques, lo que aumenta la gravedad del caso y obliga a la comunidad a extremar precauciones.
Un punto de incertidumbre es que aún no se ha confirmado si los atacantes también intentaron robar frases semilla, lo que, de comprobarse, incrementaría las consecuencias del incidente.
font-size: 28px;
font-weight: bold;
text-align: left;
background: linear-gradient(90deg, rgb(78, 16, 255) 0%, rgb(171, 23, 223) 100%);
background-clip: text;
-webkit-background-clip: text;
color: transparent;
-webkit-text-fill-color: transparent;">
Estrategias de mitigación y respuesta
Las medidas inmediatas sugeridas son:
- Usuarios de criptomonedas:
- Limitarse al uso de carteras hardware.
- Evitar operaciones con carteras software hasta confirmación oficial.
- Verificar en detalle cada transacción antes de firmar.
- Desarrolladores:
- Auditar exhaustivamente dependencias utilizadas.
- Confirmar que las versiones instaladas coincidan con las oficiales.
- Implementar herramientas SCA y generar listas SBOM.
- Reforzar autenticación de cuentas en NPM.
NPM ya ha deshabilitado los paquetes comprometidos, aunque aún trabaja en la recuperación de la cuenta afectada y en la redistribución de versiones seguras.
style="background: linear-gradient(90deg, rgb(78, 16, 255) 0%, rgb(171, 23, 223) 100%);
border: 1px solid #333333;
border-radius: 6px;
color: #ffffff;
display: inline-block;
font-size: 16px;
font-weight: bold;
padding: 14px 28px;
text-align: center;
text-decoration: none;">
Leer informe técnico completo
Este tipo de manipulación resulta especialmente crítico en el ámbito de las criptomonedas, ya que las operaciones firmadas no pueden revertirse. Según Charles Guillemet, CTO de Ledger, la amenaza es transversal y puede afectar a cualquier cadena de bloques, lo que aumenta la gravedad del caso y obliga a la comunidad a extremar precauciones.
Un punto de incertidumbre es que aún no se ha confirmado si los atacantes también intentaron robar frases semilla, lo que, de comprobarse, incrementaría las consecuencias del incidente.
font-size: 28px;
font-weight: bold;
text-align: left;
background: linear-gradient(90deg, rgb(78, 16, 255) 0%, rgb(171, 23, 223) 100%);
background-clip: text;
-webkit-background-clip: text;
color: transparent;
-webkit-text-fill-color: transparent;">
Estrategias de mitigación y respuesta
Las medidas inmediatas sugeridas son:
- Usuarios de criptomonedas:
- Limitarse al uso de carteras hardware.
- Evitar operaciones con carteras software hasta confirmación oficial.
- Verificar en detalle cada transacción antes de firmar.
- Desarrolladores:
- Auditar exhaustivamente dependencias utilizadas.
- Confirmar que las versiones instaladas coincidan con las oficiales.
- Implementar herramientas SCA y generar listas SBOM.
- Reforzar autenticación de cuentas en NPM.
NPM ya ha deshabilitado los paquetes comprometidos, aunque aún trabaja en la recuperación de la cuenta afectada y en la redistribución de versiones seguras.
style="background: linear-gradient(90deg, rgb(78, 16, 255) 0%, rgb(171, 23, 223) 100%);
border: 1px solid #333333;
border-radius: 6px;
color: #ffffff;
display: inline-block;
font-size: 16px;
font-weight: bold;
padding: 14px 28px;
text-align: center;
text-decoration: none;">
Leer informe técnico completo
font-weight: bold;
text-align: left;
background: linear-gradient(90deg, rgb(78, 16, 255) 0%, rgb(171, 23, 223) 100%);
background-clip: text;
-webkit-background-clip: text;
color: transparent;
-webkit-text-fill-color: transparent;">
Estrategias de mitigación y respuesta
style="background: linear-gradient(90deg, rgb(78, 16, 255) 0%, rgb(171, 23, 223) 100%);
border: 1px solid #333333;
border-radius: 6px;
color: #ffffff;
display: inline-block;
font-size: 16px;
font-weight: bold;
padding: 14px 28px;
text-align: center;
text-decoration: none;">
Leer informe técnico completo
Share Share Share
