Tu mensaje no se envió, pero tu monedero pasó a manos ajenas. Un paquete de correo roba criptomonedas sin que te des cuenta.
Los asistentes de IA ahora no solo escriben código, sino que también recomiendan cómo perder mejor tus ahorros.
Especialistas de Socket detectaron un paquete npm malicioso llamado nodejs-smtp, que se hace pasar por la popular librería nodemailer (promedio de descargas — 3,9 millones por semana), pero en realidad sirve como herramienta para interferir en secreto con carteras cripto y interceptar transacciones. Al instalarse e importarse, el paquete modifica la estructura del monedero de escritorio Atomic Wallet en Windows, inyecta en él JavaScript malicioso y sustituye discretamente la dirección del destinatario por la del atacante.
Por ahora el paquete malicioso sigue disponible en el registro npm, y el equipo de Socket ha solicitado su eliminación y el bloqueo de la cuenta del desarrollador nikotimon.
El ataque se activa inmediatamente después de instalar el módulo. Al importarlo se ejecuta la función patchAtomic, que localiza la aplicación Atomic Wallet instalada en el disco, extrae el contenido de su archivo principal app.asar, reemplaza el archivo vendors.*.js en el directorio dist/electron por un script malicioso a.js, vuelve a empaquetar la aplicación y borra todos los archivos y directorios temporales para ocultar las huellas.
El código inyectado no altera el funcionamiento del monedero ni afecta la interfaz de usuario. Sin embargo, en cada intento de enviar fondos sustituye de forma imperceptible la dirección de destino por una de las preconfiguradas. Si el token no se reconoce, por defecto se inserta la dirección Ethereum del atacante.
De este modo cualquier desarrollador que instale nodejs-smtp y ejecute la aplicación activa automáticamente la infección. Incluso si no se usan funciones de envío de correo, la modificación del monedero igual se produce. Esto es especialmente peligroso si el módulo llega al proyecto mediante dependencias transitivas o se copia de ejemplos en internet y asistentes de IA: por nombre, descripción y API imita por completo a nodemailer, de modo que puede engañar incluso a desarrolladores experimentados.
Para camuflarse, la biblioteca maliciosa sí implementa funciones de cliente de correo y es compatible con la interfaz de nodemailer, lo que le permite pasar pruebas sin levantar sospechas. Además de Atomic Wallet, el módulo también apunta a la aplicación Exodus. Los especialistas registraron intentos de modificar los archivos app.asar de ambos monederos. Tras inyectar el código malicioso se eliminan los directorios temporales, lo que dificulta detectar el ataque.
El análisis mostró que la campaña está planificada de antemano, tiene una estructura escalable y puede reutilizarse en otros paquetes maliciosos. Aunque de momento la actividad de la cuenta nikotimon sigue siendo baja, la naturaleza del código y los mecanismos de infección indican un alto nivel de amenaza y un daño potencial importante.
Preocupa especialmente que estas librerías cada vez aparezcan más en proyectos gracias a herramientas generativas que «inventan» nombres realistas de paquetes. Si un desarrollador pide a un asistente de IA que recomiende una librería para enviar correo desde Node.js, el modelo podría sugerir el supuesto nombre correcto nodejs-smtp —y el usuario, sin pensarlo, instalaría la falsificación.
Socket subraya que los métodos de ataque se vuelven cada vez más sofisticados: el código malicioso se activa con una simple importación, modifica aplicaciones de terceros, persiste entre reinicios e incluso no requiere interacción con funciones de correo. El uso de archivos de Electron hace la intervención especialmente resistente. La empresa advierte que es probable un aumento de este tipo de ataques en ecosistemas open-source, incluidos npm y PyPI. Según Socket, esas campañas ya afectan no solo a Ethereum y Solana, sino también a TRON, TON y otras redes.