Inversión de un millón y solo 600 dólares de beneficio: el mayor hackeo de servicios en la nube resultó un fracaso financiero para los hackers.

El mayor compromiso de la cadena de suministro en la historia del ecosistema NPM afectó aproximadamente a una de cada diez infraestructuras en la nube en todo el mundo, sin embargo los atacantes prácticamente no obtuvieron ganancias. El incidente ocurrió después de que el desarrollador Josh Zhúnon (conocido como qix) fuera víctima de una campaña de phishing para restablecer la contraseña. Como resultado, los atacantes obtuvieron acceso a su cuenta e introdujeron actualizaciones maliciosas en varios paquetes populares, entre ellos chalk y debug-js. En conjunto, estos proyectos se descargan más de 2,6 mil millones de veces cada semana.

Al acceder a la infraestructura, los atacantes incluyeron en las versiones un módulo para robar criptomonedas. Su objetivo era sustituir discretamente las direcciones de los destinatarios por las de las carteras de los atacantes durante las transacciones. La comunidad reaccionó muy rápido — todos los paquetes infectados fueron eliminados de NPM en menos de dos horas tras su publicación. Pero incluso ese breve periodo fue suficiente para que la escala de la infección fuera récord. Según datos de Wiz, alrededor del 99% de los entornos en la nube utilizan al menos uno de los proyectos afectados, y aproximadamente el 10% llegaron a descargar las versiones maliciosas.

Los especialistas de Wiz señalaron que el caso demuestra con claridad la velocidad a la que puede propagarse código malicioso en el ecosistema del software abierto. Aunque el compromiso duró solo un par de horas, las bibliotecas infectadas llegaron a uno de cada diez servicios en la nube, lo que convirtió el incidente en uno de los ataques en cadena más rápidos y de mayor escala de la historia. No obstante, las consecuencias reales fueron inesperadamente leves. Los analistas de Security Alliance determinaron que el código malicioso estaba dirigido únicamente a entornos de navegador y tenía como objetivo interceptar operaciones con Ethereum y Solana. Los atacantes reescribían direcciones de carteras, pero no utilizaron el acceso obtenido para instalar shells, moverse lateralmente ni plantar programas destructivos.

Precisamente la elección del objetivo y la limitación del funcionamiento permitieron evitar consecuencias mucho peores. A pesar de la amplia difusión y de las decenas de miles de empresas afectadas, la ganancia financiera de los atacantes fue simbólica. De todo el ataque obtuvieron solo unos pocos céntimos en ETH y alrededor de veinte dólares en un memecoin poco conocido. La ganancia acumulada en todas las carteras fue de aproximadamente $429 en Ethereum, $46 en Solana y alrededor de $600 en conjunto con otros activos — Bitcoin, Tron, BCH y Litecoin. Las direcciones que recibieron esos fondos ya han sido marcadas y están bajo control, lo que de hecho excluye la posibilidad de su conversión a efectivo.

Además se confirmó que la misma campaña de phishing afectó al desarrollador de DuckDB. Su cuenta también fue utilizada para publicar paquetes modificados con el mismo código destinado a robar criptomonedas. De ese modo, la escala del ataque fue aún mayor de lo que se pensaba inicialmente. No obstante, el total de fondos obtenidos ilegalmente no superó los mil dólares, lo que contrasta radicalmente con los costos colosales que afrontaron las empresas para verificar y restaurar la infraestructura tras el incidente.