npm Worm roba claves de criptomonedas, apunta a 19 paquetes

Un gusano auto-replicante de npm llamado SANDWORM_MODE afecta a más de 19 paquetes, recolectando claves privadas, mnemónicos BIP39, archivos de billetera y claves API de LLM desde entornos de desarrollo.

Una ataque en la cadena de suministro de npm en vivo está afectando actualmente a los entornos de desarrolladores. El Equipo de Investigación de Amenazas de Socket descubrió lo que rastrea como SANDWORM_MODE, un gusano auto-replicante que se propaga a través de al menos 19 paquetes maliciosos de npm vinculados a dos alias de publicadores. Como señaló SocketSecurity en X, esto es un ataque activo en la cadena de suministro que roba secretos de desarrollo y CI, inyecta flujos de trabajo en GitHub, envenena cadenas de herramientas de IA y recolecta claves API de LLM.

La campaña toma directamente inspiración de la familia de gusanos Shai-Hulud. Las claves privadas son lo primero. Sin puertas temporales, sin retraso. Los artefactos criptográficos descubiertos al importar se exfiltran inmediatamente a través de un endpoint dedicado antes de que se active cualquier otra etapa del payload.

Debes saber: Las amenazas a la seguridad de las billeteras están escalando Debe leer: Hackeo de seguridad en Trust Wallet: Cómo proteger tus activos

Cómo este gusano accede primero a tus claves privadas

El gusano tiene un diseño de dos etapas. La etapa 1 se activa instantáneamente al importar, recopilando tokens de npm, tokens de GitHub, secretos del entorno y claves criptográficas solo mediante lecturas de archivos. Sin ejecución de shell, sin ruido. Los mnemónicos BIP39, claves privadas de Ethereum, arreglos de bytes de Solana, claves WIF de Bitcoin y cadenas xprv se recogen en la primera pasada.

Las claves criptográficas salen inmediatamente de la máquina vía POST HTTPS a un Worker de Cloudflare en pkg-metrics[.]official334[.]workers[.]dev/drain. Esto sucede antes de cualquier verificación de puerta temporal. Antes incluso de que cargue la etapa 2.

La etapa 2 está detrás de un retraso de 48 horas, derivado de un hash MD5 del nombre del host y el nombre de usuario. Va más profundo: gestores de contraseñas mediante Bitwarden, 1Password y LastPass CLI, almacenes SQLite locales incluyendo Apple Notes y Mensajes de macOS, y un escaneo completo del sistema de archivos en busca de archivos de billetera. En entornos CI, esa puerta desaparece por completo. La carga completa del payload se activa en GITHUB_ACTIONS, GITLAB_CI, CIRCLECI, JENKINS_URL y BUILDKITE sin esperar nada.

Según SocketSecurity en X, el gusano también inyecta flujos de trabajo en GitHub y envenena cadenas de herramientas de IA, detalles confirmados en la divulgación técnica completa de Socket.

También vale la pena leer: $21 millones en Bitcoin confiscados y devueltos tras que las autoridades congelaran transacciones

Las herramientas de codificación con IA también fueron afectadas, gravemente

Tres paquetes suplantan a Claude Code. Uno apunta a OpenClaw, un agente de IA que alcanzó más de 210,000 estrellas en GitHub. El módulo McpInject del gusano despliega un servidor MCP falso en Claude Code, Claude Desktop, Cursor, VS Code Continue y configuraciones de Windsurf en disco. Cada uno recibe una entrada de herramienta falsa que apunta a un servidor malicioso y oculto.

Ese servidor contiene inyección de prompt incrustada que indica a los asistentes de IA leer silenciosamente claves SSH, credenciales de AWS, tokens de npm y secretos del entorno antes de cada llamada a la herramienta. El modelo nunca informa al usuario. La inyección bloquea explícitamente que lo haga.

Nueve proveedores de LLM son objetivo para la recolección de claves API: OpenAI, Anthropic, Google, Groq, Together, Fireworks, Replicate, Mistral y Cohere. Las claves se extraen de variables de entorno y archivos .env, validadas contra patrones de formato conocidos antes de la exfiltración.

La exfiltración se realiza en cascada a través de tres canales. Primero, HTTPS al Worker de Cloudflare, luego cargas en API de GitHub autenticadas a repositorios privados usando doble codificación base64, y finalmente túneles DNS mediante consultas codificadas en base32 a freefan[.]net y fanfree[.]net. Un algoritmo de generación de dominios, sembrado por “sw2025”, proporciona una vía de respaldo en diez TLDs si todo lo demás falla.

Interesante de revisar: Glassnode señala agotamiento en la demanda de BTC

Los dos alias de publicadores detrás de la campaña son official334 y javaorg. Los 19 paquetes maliciosos confirmados incluyen suport-color@1.0.1, claud-code@0.2.1, cloude@0.3.0, crypto-locale@1.0.0, secp256@1.0.0 y scan-store@1.0.0, entre otros. Cuatro paquetes adicionales en modo de espera (ethres, iru-caches, iruchache y uudi) aún no muestran carga maliciosa.

npm eliminó los paquetes maliciosos. GitHub eliminó la infraestructura del actor de amenazas. Cloudflare retiró los workers. Pero los defensores deben actuar ahora, sin importar qué.

Si alguno de estos paquetes se ejecutó en tu entorno, trata esa máquina como comprometida. Rota tokens de npm y GitHub, rota todos los secretos de CI, audita .github/workflows/ en busca de adiciones pull_request_target que serialicen $｛｛ toJSON(secrets) ｝｝. Verifica la configuración del template global de gits con git config –global init.templateDir. Revisa las configuraciones del asistente de IA en busca de entradas inesperadas de mcpServers. Un motor polimórfico inactivo que usa deepseek-coder:6.7b está incrustado en el gusano y desactivado en esta versión, lo que significa que una variante futura podría reescribirse para evadir detección.

También hay un interruptor de apagado en el código. Actualmente desactivado. Cuando se active, ejecutará find ~ -type f -writable y destruirá todos los archivos escribibles en el directorio home. El operador aún está en proceso de iteración.