{"id":6781,"date":"2025-07-11T10:22:18","date_gmt":"2025-07-11T10:22:18","guid":{"rendered":"https:\/\/satoshibrother.com\/es\/investigacion-sobre-la-insercion-de-codigo-malicioso-en-la-extension-ethcode-de-ethereum\/"},"modified":"2025-07-11T10:22:18","modified_gmt":"2025-07-11T10:22:18","slug":"investigacion-sobre-la-insercion-de-codigo-malicioso-en-la-extension-ethcode-de-ethereum","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/es\/investigacion-sobre-la-insercion-de-codigo-malicioso-en-la-extension-ethcode-de-ethereum\/","title":{"rendered":"Investigaci\u00f3n sobre la inserci\u00f3n de c\u00f3digo malicioso en la extensi\u00f3n ETHcode de Ethereum"},"content":{"rendered":"<h2>Descubrimiento de C\u00f3digo Malicioso en Extensi\u00f3n de Ethereum<\/h2>\n<p>Investigadores de la firma de ciberseguridad <strong>ReversingLabs<\/strong> han descubierto que un hacker insert\u00f3 una <strong>solicitud de extracci\u00f3n maliciosa<\/strong> en una extensi\u00f3n de c\u00f3digo destinada a desarrolladores de Ethereum. Este c\u00f3digo malicioso fue incluido en una actualizaci\u00f3n de <strong>ETHcode<\/strong>, un conjunto de herramientas de c\u00f3digo abierto que los desarrolladores utilizan para construir y desplegar contratos inteligentes y aplicaciones descentralizadas (dapps) compatibles con la Ethereum Virtual Machine (EVM).<\/p>\n<h2>Detalles del Incidente<\/h2>\n<p>Un blog de ReversingLabs revela que dos l\u00edneas de c\u00f3digo malicioso estaban ocultas en una <strong>solicitud de extracci\u00f3n de GitHub<\/strong> que conten\u00eda 43 commits y 4,000 l\u00edneas de c\u00f3digo actualizadas, enfoc\u00e1ndose principalmente en la adici\u00f3n de un nuevo marco de pruebas y capacidades. La actualizaci\u00f3n fue subida a GitHub el 17 de junio por un usuario llamado <strong>Airez299<\/strong>, quien no ten\u00eda historial previo en la plataforma.<\/p>\n<p>La solicitud de extracci\u00f3n fue revisada por el sistema de inteligencia artificial de GitHub y por miembros de <strong>7finney<\/strong>, el grupo responsable de crear ETHcode. Sin embargo, solo se solicitaron cambios menores, y ni 7finney ni el esc\u00e1ner de IA detectaron nada sospechoso.<\/p>\n<p>Airez299 logr\u00f3 ocultar la naturaleza maliciosa de la primera l\u00ednea de c\u00f3digo d\u00e1ndole un nombre similar al de un archivo preexistente, adem\u00e1s de <em>ofuscar<\/em> y <em>desordenar<\/em> el c\u00f3digo, lo que dificult\u00f3 su lectura. La segunda l\u00ednea de c\u00f3digo activa la primera y, seg\u00fan ReversingLabs, tiene como objetivo final crear una funci\u00f3n automatizada (un script de PowerShell) que descarga y ejecuta un script por lotes desde un servicio de alojamiento de archivos p\u00fablico.<\/p>\n<h2>Consecuencias Potenciales<\/h2>\n<p>ReversingLabs contin\u00faa investigando la funcionalidad exacta de este script, aunque se trabaja bajo la suposici\u00f3n de que est\u00e1 destinado a <strong>robar activos criptogr\u00e1ficos<\/strong> almacenados en la m\u00e1quina de la v\u00edctima o, alternativamente, comprometer los contratos de Ethereum en desarrollo por parte de los usuarios de la extensi\u00f3n.<\/p>\n<p>En una conversaci\u00f3n con <strong>Decrypt<\/strong>, Petar Kirhmajer, autor del blog, inform\u00f3 que ReversingLabs no tiene indicios ni evidencia de que el c\u00f3digo malicioso haya sido utilizado realmente para robar tokens o datos. Sin embargo, Kirhmajer se\u00f1ala que ETHcode cuenta con <strong>6,000 instalaciones<\/strong>, y que la solicitud de extracci\u00f3n, que podr\u00eda haberse implementado como parte de una actualizaci\u00f3n autom\u00e1tica, podr\u00eda haberse propagado a miles de sistemas de desarrolladores.<\/p>\n<h2>Opiniones de Expertos<\/h2>\n<p>Esto es potencialmente preocupante, y algunos desarrolladores sugieren que este tipo de explotaci\u00f3n ocurre con frecuencia en el \u00e1mbito de las criptomonedas, dado que la industria depende en gran medida del desarrollo de c\u00f3digo abierto. <strong>Zak Cole<\/strong>, desarrollador de Ethereum y cofundador de NUMBER GROUP, advierte que muchos desarrolladores instalan paquetes de c\u00f3digo abierto sin revisarlos adecuadamente. <\/p>\n<blockquote><p>\u00abEs demasiado f\u00e1cil para alguien insertar algo malicioso,\u00bb<\/p><\/blockquote>\n<p> le dijo a Decrypt. <\/p>\n<blockquote><p>\u00abPodr\u00eda ser un paquete npm, una extensi\u00f3n de navegador, lo que sea.\u00bb<\/p><\/blockquote>\n<p>Ejemplos recientes de alto perfil incluyen la explotaci\u00f3n del <strong>Ledger Connect Kit<\/strong> en diciembre de 2023, as\u00ed como el descubrimiento de malware en la biblioteca de c\u00f3digo abierto <strong>web3.js<\/strong> de Solana. <\/p>\n<blockquote><p>\u00abHay demasiado c\u00f3digo y no suficientes ojos sobre \u00e9l,\u00bb<\/p><\/blockquote>\n<p> a\u00f1ade Cole. <\/p>\n<blockquote><p>\u00abLa mayor\u00eda de la gente simplemente asume que las cosas son seguras porque son populares o han estado disponibles durante un tiempo, pero eso no significa nada.\u00bb<\/p><\/blockquote>\n<h2>Recomendaciones para Desarrolladores<\/h2>\n<p>Cole afirma que, aunque este tipo de incidentes no es particularmente nuevo, <strong>\u00abla superficie de ataque abordable se est\u00e1 expandiendo\u00bb<\/strong> debido a que cada vez m\u00e1s desarrolladores utilizan herramientas de c\u00f3digo abierto. <\/p>\n<blockquote><p>\u00abAdem\u00e1s, ten en cuenta que hay repositorios enteros llenos de operativos de la DPRK cuyo trabajo a tiempo completo es ejecutar estas explotaciones,\u00bb<\/p><\/blockquote>\n<p> dice. Mientras Cole sugiere que probablemente hay m\u00e1s c\u00f3digo malicioso acechando de lo que muchos desarrolladores se dan cuenta, Kirhmajer le coment\u00f3 a Decrypt que, en su estimaci\u00f3n, <strong>\u00ablos intentos exitosos son muy raros.\u00bb<\/strong><\/p>\n<p>Esto plantea la pregunta de qu\u00e9 pueden hacer los desarrolladores para reducir sus posibilidades de utilizar c\u00f3digo comprometido. ReversingLabs recomienda <strong>verificar la identidad y el historial de los contribuyentes<\/strong> antes de descargar cualquier cosa. La firma tambi\u00e9n sugiere que los desarrolladores revisen archivos como <strong>package.json<\/strong> para evaluar nuevas dependencias, algo que Zak Cole tambi\u00e9n apoya. <\/p>\n<blockquote><p>\u00abLo que ayuda es restringir tus dependencias para que no est\u00e9s incorporando cosas nuevas al azar cada vez que construyes,\u00bb<\/p><\/blockquote>\n<p> dijo. Cole tambi\u00e9n recomend\u00f3 utilizar herramientas que escaneen comportamientos extra\u00f1os o mantenedores sospechosos, y estar atento a cualquier paquete que pueda cambiar de manos o actualizarse repentinamente. <\/p>\n<blockquote><p>\u00abAdem\u00e1s, no ejecutes herramientas de firma o billeteras en la misma m\u00e1quina que usas para construir cosas,\u00bb<\/p><\/blockquote>\n<p> concluy\u00f3. <\/p>\n<blockquote><p>\u00abSimplemente asume que nada es seguro a menos que lo hayas revisado o aislado.\u00bb<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Descubrimiento de C\u00f3digo Malicioso en Extensi\u00f3n de Ethereum Investigadores de la firma de ciberseguridad ReversingLabs han descubierto que un hacker insert\u00f3 una solicitud de extracci\u00f3n maliciosa en una extensi\u00f3n de c\u00f3digo destinada a desarrolladores de Ethereum. Este c\u00f3digo malicioso fue incluido en una actualizaci\u00f3n de ETHcode, un conjunto de herramientas de c\u00f3digo abierto que los desarrolladores utilizan para construir y desplegar contratos inteligentes y aplicaciones descentralizadas (dapps) compatibles con la Ethereum Virtual Machine (EVM). Detalles del Incidente Un blog de ReversingLabs revela que dos l\u00edneas de c\u00f3digo malicioso estaban ocultas en una solicitud de extracci\u00f3n de GitHub que conten\u00eda 43<\/p>\n","protected":false},"author":3,"featured_media":6780,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[75,13,1338,65,1340,115],"class_list":["post-6781","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-dprk","tag-ethereum","tag-github","tag-hack","tag-reversinglabs","tag-solana"],"yoast_description":"Una solicitud de extracci\u00f3n maliciosa con c\u00f3digo oculto fue insertada en la suite ETHcode de Ethereum, lo que plantea riesgos potenciales para los sistemas de los desarrolladores y los activos criptogr\u00e1ficos.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/6781","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/comments?post=6781"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/6781\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media\/6780"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media?parent=6781"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/categories?post=6781"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/tags?post=6781"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}