En el registro de paquetes de NPM, se ha descubierto un nuevo conjunto de cuatro paquetes maliciosos con la capacidad de robar credenciales de billetera de criptomonedas de los desarrolladores de Ethereum.
«El paquete elimina en secreto las claves privadas y las semillas mnemónicas para los bots de telegrama controlados por actores de amenaza, al tiempo que exageran las utilidades de cifrado legal e infraestructura MEV de bots flash», dijo el investigador de Socket Kush Pandya en el análisis.
El paquete fue subido a NPM por un usuario llamado «Flashbotts» y la biblioteca más temprana se cargó en septiembre de 2023. La última carga se realizó el 19 de agosto de 2025. El paquete en cuestión todavía está disponible para descargar al momento de escribir.
La suplantación de flashbot no es una coincidencia dado su papel en la combinación de los efectos negativos de los valores extraíbles máximos (MEV) en la red Ethereum, como sándwiches, liquidación, fondo, carrera frontal y ataques de banda oportunos.
La más peligrosa de las bibliotecas identificadas es «@Flashbotts/Erthers-Provider-Bundle», que utiliza la cubierta de funciones para ocultar operaciones maliciosas. Se supone que proporciona compatibilidad completa de la API Flashbot, el paquete incorpora la funcionalidad de sigilo para eliminar las variables de entorno más que SMTP usando MailTrap.
Además, el paquete NPM implementa las capacidades de manipulación de transacciones para redirigir todas las transacciones sin firmar a una dirección de billetera controlada por el atacante y redirigir metadatos de registro de las transacciones previamente firmadas.
Las etapas SDK son en su mayoría benignas por enchufe, pero contienen dos características, enviando frases de semillas mnemónicas al bot de telegrama. Los bots de telegrama solo se activan cuando los desarrollan desarrolladores inconscientes en sus propios proyectos.
El segundo paquete que se hace pasar por Flashbot, Flashbot-Sdk-eth, está diseñado para desencadenar el robo de claves privadas, mientras que Gram-Utilz proporciona un mecanismo modular para eliminar datos arbitrarios en el chat de Telegram de actores de amenaza.
Frases de semillas mnemónicas que actúan como la «clave maestra» para restaurar el acceso a las billeteras de criptomonedas, permitiendo a los actores de amenaza irrumpir en la billetera de la víctima y tener un control total sobre la billetera.
La presencia de comentarios vietnamitas en el código fuente sugiere que los actores de amenaza de motivación financiera pueden hablar vietnamitas.
Los hallazgos muestran un esfuerzo deliberado de algunos atacantes para llevar a cabo ataques de la cadena de suministro de software para armarse la confianza relacionada con la plataforma.
«Debido a que los validadores, los buscadores y los desarrolladores Defi confían ampliamente los flashbots, los paquetes que parecen ser SDK oficiales tienen más probabilidades de adoptar operadores que ejecutan bots comerciales y la administración de billeteras calientes», señaló Pandya. «Una clave privada comprometida en este entorno puede conducir a un robo irreversible inmediato de fondos».
«Al aprovechar la confianza del desarrollador con los nombres de paquetes familiares y el código malicioso de relleno con utilidades legítimas, estos paquetes convierten el desarrollo de Web3 cotidiano directamente en una tubería, amenazando los bots de telegrama controlados por el actor».
Source link
