Charles Guillemet, Chief Technology Officer de Ledger, emitió una advertencia crítica sobre un sofisticado ataque a la cadena de suministro tras la comprobación de la cuenta de Node Package Manager (NPM) de un desarrollador de renombre, el cual habría afectado aproximadamente mil millones de descargas.
9 de septiembre 2025 - 11:29
CTO de Ledger advierte sobre un ciberataque masivo que compromete mil millones de descargas
CTO de Ledger, Charles Guillemet, revela detalles técnicos tras alertar sobre un ataque a una cadena de suministro NPM que comprometió mil millones de descargas
-
Qué sectores lideran la implementación de la inteligencia artificial en Argentina
-
Apple lanzó el iPhone 17 y presentó el nuevo Air, el más delgado de su historia
Guillemet explicó que Ledger ha implementado un protocolo exhaustivo de respuesta ante esta crisis.
El ejecutivo confirmó que el incidente involucra la inyección de código malicioso en paquetes legítimos de NPM a través del compromiso de credenciales de maintainers, según explican desde la compañía especializada en seguridad criptográfica.
La metodología del ataque
En sus declaraciones a través de X, Guillemet detalló que los atacantes utilizaron técnicas de ingeniería social para obtener acceso a cuentas de desarrolladores con permisos de publicación. "La carga maliciosa funciona intercambiando silenciosamente direcciones criptográficas sobre la marcha para robar fondos. Si utiliza una cartera de hardware, preste atención a cada transacción antes de firmar y estará seguro. Si no utiliza una cartera de hardware, absténgase de realizar transacciones en cadena por ahora", explicó el CTO de Ledger.
En declaraciones a CoinDesk, el ejecutivo añadió que "el código malicioso fue introducido de manera ofuscada en paquetes legítimos, actuando como un dropper que descarga payloads adicionales solo bajo condiciones específicas". Este enfoque de propagación progresiva permitió a los atacantes evadir las detecciones iniciales de seguridad y expandir el compromiso a través de dependencias transitivas.
El equipo técnico de Ledger, bajo la dirección de Guillemet, ha sido fundamental para dimensionar el alcance real de esta vulnerabilidad. Según sus análisis, el ataque ha comprometido aproximadamente mil millones de descargas, afectando a innumerables proyectos en el ecosistema JavaScript y Node.js. El CTO enfatizó que la magnitud de este incidente "representa una de las amenazas más significativas contra la cadena de suministro de código abierto en los últimos años".
Medidas de respuesta implementadas
Guillemet explicó que Ledger ha implementado un protocolo exhaustivo de respuesta ante esta crisis. "Hemos realizado una auditoría completa de todos nuestros paquetes NPM, verificando rigurosamente sus hashes criptográficos e implementando contramedidas específicas", declaró el ejecutivo. El CTO recomendó a la comunidad de desarrolladores verificar meticulosamente la integridad de sus dependencias y utilizar firmas digitales para validar la autenticidad de los paquetes.
Desde su perspectiva como experto en seguridad criptográfica, Guillemet alertó que este incidente "expone la fragilidad inherente de las cadenas de suministro de software modernas". Asimismo, hizo un llamado a adoptar modelos de confianza cero donde se verifique sistemáticamente la procedencia e integridad de cada componente, más allá de su fuente aparentemente legítima. "La seguridad debe impregnar cada fase del ciclo de desarrollo, desde el código hasta la entrega continua", afirmó.
¿Cómo evitar ataques en el futuro?
El ejecutivo de Ledger subrayó la necesidad de implementar soluciones tecnológicas como SLSA (Supply-chain Levels for Software Artifacts) y firmas digitales obligatorias para publicaciones de paquetes. Guillemet también destacó la importancia de auditorías automatizadas que detecten comportamientos anómalos en los procesos de build y publicación.
"Este ataque representa un punto de inflexión que probablemente redefinirá los estándares de seguridad en el desarrollo de software", dijo a CoinDesk. El CTO concluyó:
"Ningún actor está a salvo de estas amenazas. (...) La única forma segura de combatir esto es utilizar una billetera de hardware con una pantalla segura que soporte Clear Signing. Esto permitirá al usuario ver exactamente a qué direcciones se están enviando los fondos y garantizar que coincidan con las direcciones previstas. Las billeteras de hardware sin pantallas seguras y cualquier billetera que no soporte la firma Clear están en alto riesgo, ya que es imposible verificar con precisión que los detalles de la transacción sean correctos. Es una oportunidad para recordar a todos: siempre verifiquen sus transacciones, nunca firmen a ciegas, utilicen una billetera de hardware con pantalla segura y firmen todo con claridad."
- Temas
- Ciberseguridad
Dejá tu comentario