AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Comprometen el SDK de Injective Labs en GitHub: npm infectado para robar claves de criptomonedas

## Introducción

Un nuevo incidente de seguridad ha sacudido el ecosistema de desarrollo blockchain: actores desconocidos lograron comprometer el repositorio de GitHub del proyecto Injective Labs SDK y, a través de este acceso, publicaron un paquete malicioso en el registro npm. El objetivo del ataque era claro: robar claves privadas y frases semilla (mnemonic seed phrases) de monederos de criptomonedas, explotando la cadena de suministro de software en uno de los entornos más críticos para la economía digital.

## Contexto del Incidente

Injective Labs es conocido por sus herramientas de desarrollo para aplicaciones descentralizadas (dApps) y plataformas DeFi. Su SDK, particularmente la versión TypeScript publicada como `@injectivelabs/sdk-ts`, es ampliamente utilizado por desarrolladores que integran funcionalidades blockchain en sus productos. El pasado 22 de junio de 2024, se detectó que la versión `1.20.21` publicada en npm contenía código malicioso, resultado de una intrusión en el repositorio original de GitHub. Tras la alerta de la comunidad, la versión fue retirada rápidamente, pero no antes de que pudiera ser descargada e integrada en proyectos de terceros.

## Detalles Técnicos

### Vector de Ataque y Persistencia

El ataque comenzó con la obtención de acceso ilegítimo a la cuenta de GitHub asociada con Injective Labs, lo que permitió a los atacantes modificar el código fuente y automatizar la publicación de un paquete npm contaminado. La versión maliciosa del SDK introdujo una falsa funcionalidad de telemetría que, en realidad, era un mecanismo de exfiltración de datos sensibles.

### Funcionamiento del Payload

El código malicioso interceptaba llamadas relacionadas con la gestión de monederos de criptomonedas, recolectando frases semilla y claves privadas que eran exportadas silenciosamente a un servidor externo bajo control de los atacantes. La exfiltración se realizaba mediante peticiones HTTP cifradas, dificultando la detección mediante inspección superficial del tráfico.

### Indicadores de Compromiso (IoC)

– Paquete npm afectado: `@injectivelabs/sdk-ts@1.20.21`
– Funciones alteradas: gestión de claves y generación de wallets
– Dominio de C2: detectado en los logs de tráfico de algunos usuarios, actualmente suspendido
– Hash SHA256 del paquete malicioso: disponible en los repositorios de análisis de amenazas
– TTP MITRE ATT&CK: [T1195.002 – Supply Chain Compromise: Compromise Software Dependencies and Development Tools](https://attack.mitre.org/techniques/T1195/002/)

Actualmente, no se ha reportado la explotación a gran escala mediante frameworks como Metasploit o Cobalt Strike, pero la técnica es fácilmente adaptable para campañas similares.

## Impacto y Riesgos

El impacto del incidente es significativo:

– **Robo directo de activos**: Usuarios y empresas que hayan utilizado la versión maliciosa corren el riesgo de haber expuesto sus claves privadas, lo que permite el vaciado inmediato de fondos en monederos comprometidos.
– **Compromiso de la cadena de suministro**: Proyectos que integren el SDK afectado podrían haber propagado la vulnerabilidad a sus propios usuarios finales.
– **Pérdida de confianza**: Incidentes de este tipo afectan gravemente la reputación del proyecto y del ecosistema npm.

Según análisis preliminares, la versión afecta a aplicaciones desarrolladas entre el 21 y 22 de junio de 2024, con un número indeterminado de descargas antes de su retirada. No se han hecho públicas cifras económicas, pero el impacto potencial es de varios millones de euros, dada la naturaleza de los activos en juego.

## Medidas de Mitigación y Recomendaciones

– **Eliminación inmediata**: Desinstalar la versión `@injectivelabs/sdk-ts@1.20.21` y reemplazarla por una versión auditada y segura.
– **Rotación de claves**: Generar nuevas claves privadas y frases semilla para todos los monederos que hayan interactuado con el SDK comprometido.
– **Revisión de dependencias**: Auditar todas las dependencias de los proyectos y reforzar políticas de gestión de paquetes, incluyendo la verificación de integridad y firmas.
– **Monitorización de logs y tráfico**: Buscar actividad inusual, especialmente conexiones a dominios C2 relacionados con el incidente.
– **Implementación de controles de acceso en repositorios**: Uso de autenticación multifactor y revisiones de seguridad en las cuentas de GitHub.

## Opinión de Expertos

Expertos en ciberseguridad, como los analistas de SANS Institute y Kaspersky, destacan que este ataque evidencia la creciente sofisticación en la cadena de suministro de software, especialmente en entornos DeFi y blockchain. Recomiendan fortalecer las prácticas de DevSecOps, implementar frameworks de Zero Trust y adoptar herramientas de detección temprana de anomalías en repositorios de código y registros de paquetes.

## Implicaciones para Empresas y Usuarios

Para los CISOs y responsables de seguridad, este incidente subraya la necesidad de:

– **Reforzar la supervisión de la cadena de suministro de software**, siguiendo los requerimientos de la NIS2 y las mejores prácticas del ENISA.
– **Educar a los equipos de desarrollo** sobre los riesgos de dependencias de terceros y la importancia de la validación continua de los paquetes utilizados.
– **Preparar planes de respuesta ante incidentes** específicos para compromisos de dependencias, incluyendo automatización para la revocación y sustitución de paquetes afectados.

Para los usuarios particulares, la recomendación es clara: evitar instalar versiones no verificadas de herramientas críticas y mantener buenas prácticas de protección de claves y frases semilla.

## Conclusiones

El compromiso del SDK de Injective Labs representa un caso paradigmático de ataque a la cadena de suministro en el ámbito blockchain y pone de manifiesto la urgencia de endurecer los controles de seguridad en todas las fases del ciclo de vida del software. La colaboración entre desarrolladores, equipos de seguridad y plataformas de distribución es esencial para mitigar este tipo de amenazas, que seguirán creciendo en sofisticación y frecuencia.

(Fuente: feeds.feedburner.com)