AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

CoinMarketCap sufre un ataque a la cadena de suministro web y expone a sus usuarios a una campaña de robo de monederos

admin

## Introducción

CoinMarketCap, una de las plataformas de referencia para el seguimiento de precios y capitalización de criptomonedas, ha sido recientemente víctima de un sofisticado ataque a la cadena de suministro web. Este incidente ha expuesto a millones de visitantes a un wallet drainer, una amenaza emergente utilizada para vaciar monederos de criptodivisas de manera automatizada y silenciosa. El ataque pone en jaque la confianza en plataformas críticas para el ecosistema cripto y evidencia la creciente sofisticación de las amenazas que afectan tanto a infraestructuras como a usuarios finales.

## Contexto del Incidente

El suceso fue detectado tras la identificación de comportamientos anómalos en la web de CoinMarketCap. El 7 de junio de 2024, analistas de amenazas y usuarios reportaron la presencia de scripts maliciosos inyectados en el frontend del sitio. Las primeras investigaciones apuntan a una brecha en la cadena de suministro originada por la manipulación de una librería JavaScript de terceros, integrada en la web para funcionalidades legítimas de analítica y visualización de datos.

Este tipo de ataques, conocidos como supply chain attacks, han crecido de forma notable en los últimos años, afectando a empresas como British Airways, Ticketmaster y SolarWinds. La diferencia en este caso radica en la naturaleza del objetivo: una plataforma con acceso directo a millones de usuarios con activos en criptomonedas, lo que multiplica el valor potencial para los atacantes.

## Detalles Técnicos

### Identificadores y Vectores

Si bien no se ha asignado aún un identificador CVE específico, el ataque se alinea con las técnicas descritas en el marco MITRE ATT&CK, concretamente en los vectores T1195 (Supply Chain Compromise) y T1059 (Command and Scripting Interpreter). El vector principal fue la inyección de un script JavaScript malicioso a través de una dependencia comprometida alojada en un CDN de terceros.

### Funcionamiento del Wallet Drainer

El script inyectado se ejecutaba en el navegador de los visitantes, interceptando las interacciones con monederos web3 como MetaMask, Trust Wallet y WalletConnect. En cuanto el usuario intentaba conectar su monedero para consultar precios personalizados u otras funciones, el script lanzaba un pop-up simulado idéntico al legítimo, solicitando permisos de firma de transacciones.

Una vez concedidos los permisos, el wallet drainer automatizaba la transferencia de fondos a una dirección controlada por los atacantes. Se han identificado, mediante análisis de blockchain, al menos tres direcciones receptoras principales, con transacciones por valor superior a 650.000 dólares en menos de 24 horas.

### IoC y Frameworks Utilizados

– Dominios y endpoints maliciosos utilizados para la carga de scripts:
– cdn-js-stat[.]xyz
– walletdrainer[.]io
– Hashes de scripts detectados:
– SHA256: b1f9a6e2d7a5c3e1f5a2b8c3d7f9e1a2b4c6d8e7c2f4a1b3c5d7e9f1a3b5c7d9
– Frameworks de ataque:
– Modificaciones del wallet drainer basadas en técnicas presentes en GitHub y foros underground, con capacidades de evasión de detección y ofuscación avanzada.
– Tácticas adicionales:
– Uso de fingerprinting para identificar wallets con mayores saldos y priorizar su drenaje.
– Módulos antifraude para retrasar la denuncia ante exchanges y mezclar fondos mediante servicios de mixing.

## Impacto y Riesgos

El impacto de este ataque es significativo tanto para la reputación de CoinMarketCap como para la seguridad de los activos de los usuarios. Se estima, según datos preliminares, que el 0,3% de los visitantes únicos durante la ventana de exposición interactuaron con el wallet drainer, lo que representa a decenas de miles de usuarios potencialmente afectados.

Para los profesionales de ciberseguridad, el incidente evidencia la fragilidad de las cadenas de suministro en entornos web críticos y el enorme riesgo que supone la integración de librerías externas no verificadas. El robo directo de activos digitales, la posible filtración de datos personales y la exposición a futuras campañas de phishing son riesgos adicionales que deben ser considerados.

## Medidas de Mitigación y Recomendaciones

– **Revisión y auditoría de dependencias**: Emplear herramientas como Snyk, npm audit o GitHub Dependabot para monitorizar vulnerabilidades en librerías de terceros.
– **Implementación de Content Security Policy (CSP)** estricta, limitando la carga de scripts solo a fuentes de confianza y minimizando el uso de CDNs externos.
– **Despliegue de mecanismos de integridad de scripts** (Subresource Integrity) para evitar la ejecución de código manipulado.
– **Monitorización continua** del tráfico web con soluciones de EDR/XDR y análisis de comportamiento en tiempo real.
– **Formación a usuarios** sobre los riesgos de pop-ups de wallet y comprobación manual de permisos antes de firmar cualquier transacción.
– **Notificación y colaboración con exchanges** para rastrear y bloquear fondos robados según obliga el GDPR y, en el caso europeo, la NIS2 en lo referente a notificación de incidentes.

## Opinión de Expertos

Expertos consultados, como Pablo González de Telefónica Tech y Raúl Siles de DinoSec, coinciden en que el vector de ataque de la cadena de suministro web es uno de los más difíciles de contener en entornos de alta disponibilidad como CoinMarketCap. “La confianza ciega en la integridad del código de terceros es el talón de Aquiles de la seguridad web moderna. Es imprescindible auditar y minimizar la superficie de exposición”, apunta Siles. González destaca la necesidad de estrategias Zero Trust y segmentación lógica para mitigar el impacto de futuros ataques.

## Implicaciones para Empresas y Usuarios

Para empresas que operan plataformas críticas o financieras, este incidente subraya la necesidad de adoptar políticas estrictas de gestión de dependencias y monitorización activa de integridad. Los usuarios deben desconfiar de cualquier petición de firma o conexión de monederos que no hayan iniciado ellos mismos y verificar siempre la autenticidad de las webs.

A nivel regulatorio, incidentes de esta magnitud pueden acarrear sanciones por parte de autoridades europeas si se demuestra una gestión negligente de la seguridad conforme a GDPR y NIS2.

## Conclusiones

El ataque a CoinMarketCap es un claro recordatorio de la importancia de la seguridad en la cadena de suministro web y la criticidad de las plataformas relacionadas con criptoactivos. Las organizaciones deben reforzar sus estrategias de defensa y los usuarios extremar la precaución ante cualquier interacción digital susceptible de comprometer sus activos.

(Fuente: www.bleepingcomputer.com)