Se han descubierto un nuevo conjunto de cuatro paquetes maliciosos en el registro de paquetes NPM con capacidades para robar credenciales de billetera de criptomonedas de los desarrolladores de Ethereum.
«Los paquetes se disfrazan de utilidades criptográficas legítimas y flashbots MEV Infraestructura mientras exfiltran en secreto las claves privadas y las semillas mnemónicas a un bot de telegrama controlado por el actor de amenazas», dijo el investigador de socket Kush Pandya en un prospección.
Los paquetes fueron cargados a NPM por un afortunado llamado «Flashbotts», con la biblioteca más temprana cargada desde septiembre de 2023. La carga más fresco tuvo circunstancia el 19 de agosto de 2025. Los paquetes en cuestión, todos están disponibles para descargar a partir de la escritura, se enumeran a continuación, a continuación, se enumeran a continuación,
La suplantación de Flashbots no es una coincidencia, regalado su papel en la combinación de los pertenencias adversos del valencia mayor extraíble (MEV) en la red Ethereum, como el sándwich, la ganga, la retribución, la carrera anterior y los ataques de la mano de tiempo.
La más peligrosa de las bibliotecas identificadas es «@Flashbotts/Ethers-Provider-Bundle», que utiliza su cubierta cómodo para ocultar las operaciones maliciosas. Bajo la apariencia de ofrecer compatibilidad completa de la API Flashbots, el paquete incorpora funcionalidad sigilosa para exfiltrar las variables de entorno a través de SMTP usando MailTrap.
Por otra parte, el paquete NPM implementa una función de manipulación de transacciones para redirigir todas las transacciones sin firmar a una dirección de billetera controlada por el atacante y registrar metadatos de transacciones previamente firmadas.
SDK-Ethers, por enchufe, es principalmente clemente, pero incluye dos funciones para transmitir frases de semillas mnemónicas a un bot de telegrama que solo se activan cuando son invocados por desarrolladores involuntarios en sus propios proyectos.
El segundo paquete para hacerse advenir por flashbots, Flashbot-SDK-eth, incluso está diseñado para activar el robo de claves privadas, mientras que Gram-Utilz ofrece un mecanismo modular para exfiltrar datos arbitrarios al chat de telegrama del actor de amenaza.
Con las frases de semillas mnemónicas que sirven como la «esencia maestra» para recuperar el llegada a las billeteras de criptomonedas, el robo de estas secuencias de palabras puede permitir a los actores de amenaza irrumpir en las billeteras de las víctimas y obtener un control completo sobre sus billeteras.
La presencia de comentarios de idiomas vietnamitas en el código fuente sugiere que el actor de amenaza con motivación financiera puede ser de deje vietnamita.
Los hallazgos indican un esfuerzo deliberado en parte de los atacantes para armarse la confianza asociada con la plataforma para realizar ataques de la prisión de suministro de software, sin mencionar la oscuridad de la funcionalidad maliciosa en medio de un código inofensivo en su mayoría para dejar de banda el pesquisa.
«Oportuno a que los validadores, buscadores y desarrolladores Defi confían ampliamente los flashbots, cualquier paquete que parece ser un SDK oficial tiene una adhesión probabilidad de ser adoptados por los operadores que ejecutan bots comerciales o administrando billeteras calientes», señaló Pandya. «Una esencia privada comprometida en este entorno puede conducir a un robo inmediato e irreversible de fondos».
«Al explotar la confianza del desarrollador en los nombres de paquetes familiares y el acolchado de código bellaco con utilidades legítimas, estos paquetes convierten el incremento de Web3 de rutina en una tubería directa para amenazar a los bots de telegrama controlados por los actores».
