Se han descubierto un nuevo conjunto de cuatro paquetes maliciosos en el registro de paquetes NPM con capacidades para robar credenciales de billetera de criptomonedas de los desarrolladores de Ethereum.
«Los paquetes se disfrazan de utilidades criptográficas legítimas y flashbots MEV Infraestructura mientras exfiltran en secreto las claves privadas y las semillas mnemónicas a un bot de telegrama controlado por el actor de amenazas», dijo el investigador de socket Kush Pandya en un análisis.
Los paquetes fueron cargados a NPM por un usuario llamado «Flashbotts», con la biblioteca más temprana cargada desde septiembre de 2023. La carga más reciente tuvo lugar el 19 de agosto de 2025. Los paquetes en cuestión, todos están disponibles para descargar a partir de la escritura, se enumeran a continuación, a continuación, se enumeran a continuación,
La suplantación de Flashbots no es una coincidencia, dado su papel en la combinación de los efectos adversos del valor máximo extraíble (MEV) en la red Ethereum, como el sándwich, la liquidación, la recompensa, la carrera frontal y los ataques de la mano de tiempo.
La más peligrosa de las bibliotecas identificadas es «@Flashbotts/Ethers-Provider-Bundle», que utiliza su cubierta funcional para ocultar las operaciones maliciosas. Bajo la apariencia de ofrecer compatibilidad completa de la API Flashbots, el paquete incorpora funcionalidad sigilosa para exfiltrar las variables de entorno a través de SMTP usando MailTrap.
Además, el paquete NPM implementa una función de manipulación de transacciones para redirigir todas las transacciones sin firmar a una dirección de billetera controlada por el atacante y registrar metadatos de transacciones previamente firmadas.
SDK-Ethers, por enchufe, es principalmente benigno, pero incluye dos funciones para transmitir frases de semillas mnemónicas a un bot de telegrama que solo se activan cuando son invocados por desarrolladores involuntarios en sus propios proyectos.
El segundo paquete para hacerse pasar por flashbots, Flashbot-SDK-eth, también está diseñado para activar el robo de claves privadas, mientras que Gram-Utilz ofrece un mecanismo modular para exfiltrar datos arbitrarios al chat de telegrama del actor de amenaza.
Con las frases de semillas mnemónicas que sirven como la «clave maestra» para recuperar el acceso a las billeteras de criptomonedas, el robo de estas secuencias de palabras puede permitir a los actores de amenaza irrumpir en las billeteras de las víctimas y obtener un control completo sobre sus billeteras.
La presencia de comentarios de idiomas vietnamitas en el código fuente sugiere que el actor de amenaza con motivación financiera puede ser de habla vietnamita.
Los hallazgos indican un esfuerzo deliberado en parte de los atacantes para armarse la confianza asociada con la plataforma para realizar ataques de la cadena de suministro de software, sin mencionar la oscuridad de la funcionalidad maliciosa en medio de un código inofensivo en su mayoría para dejar de lado el escrutinio.
«Debido a que los validadores, buscadores y desarrolladores Defi confían ampliamente los flashbots, cualquier paquete que parece ser un SDK oficial tiene una alta probabilidad de ser adoptados por los operadores que ejecutan bots comerciales o administrando billeteras calientes», señaló Pandya. «Una clave privada comprometida en este entorno puede conducir a un robo inmediato e irreversible de fondos».
«Al explotar la confianza del desarrollador en los nombres de paquetes familiares y el acolchado de código malicioso con utilidades legítimas, estos paquetes convierten el desarrollo de Web3 de rutina en una tubería directa para amenazar a los bots de telegrama controlados por los actores».
