Se han descubierto un nuevo conjunto de cuatro paquetes maliciosos en el registro de paquetes NPM con capacidades para robar credenciales de billetera de criptomonedas de los desarrolladores de Ethereum.
“Los paquetes se disfrazan de utilidades criptográficas legítimas y flashbots MEV Infraestructura mientras exfiltran en secreto las claves privadas y las semillas mnemónicas a un bot de telegrama controlado por el actor de amenazas”, dijo el investigador de socket Kush Pandya en un exploración.
Los paquetes fueron cargados a NPM por un afortunado llamado “Flashbotts”, con la biblioteca más temprana cargada desde septiembre de 2023. La carga más nuevo tuvo oficio el 19 de agosto de 2025. Los paquetes en cuestión, todos están disponibles para descargar a partir de la escritura, se enumeran a continuación, a continuación, se enumeran a continuación,
La suplantación de Flashbots no es una coincidencia, transmitido su papel en la combinación de los género adversos del valencia mayor extraíble (MEV) en la red Ethereum, como el sándwich, la depreciación, la remuneración, la carrera delantero y los ataques de la mano de tiempo.
La más peligrosa de las bibliotecas identificadas es “@Flashbotts/Ethers-Provider-Bundle”, que utiliza su cubierta pragmático para ocultar las operaciones maliciosas. Bajo la apariencia de ofrecer compatibilidad completa de la API Flashbots, el paquete incorpora funcionalidad sigilosa para exfiltrar las variables de entorno a través de SMTP usando MailTrap.
Adicionalmente, el paquete NPM implementa una función de manipulación de transacciones para redirigir todas las transacciones sin firmar a una dirección de billetera controlada por el atacante y registrar metadatos de transacciones previamente firmadas.
SDK-Ethers, por enchufe, es principalmente complaciente, pero incluye dos funciones para transmitir frases de semillas mnemónicas a un bot de telegrama que solo se activan cuando son invocados por desarrolladores involuntarios en sus propios proyectos.
El segundo paquete para hacerse producirse por flashbots, Flashbot-SDK-eth, asimismo está diseñado para activar el robo de claves privadas, mientras que Gram-Utilz ofrece un mecanismo modular para exfiltrar datos arbitrarios al chat de telegrama del actor de amenaza.
Con las frases de semillas mnemónicas que sirven como la “secreto maestra” para recuperar el camino a las billeteras de criptomonedas, el robo de estas secuencias de palabras puede permitir a los actores de amenaza irrumpir en las billeteras de las víctimas y obtener un control completo sobre sus billeteras.
La presencia de comentarios de idiomas vietnamitas en el código fuente sugiere que el actor de amenaza con motivación financiera puede ser de deje vietnamita.
Los hallazgos indican un esfuerzo deliberado en parte de los atacantes para armarse la confianza asociada con la plataforma para realizar ataques de la condena de suministro de software, sin mencionar la oscuridad de la funcionalidad maliciosa en medio de un código inofensivo en su mayoría para dejar de banda el recuento.
“Conveniente a que los validadores, buscadores y desarrolladores Defi confían ampliamente los flashbots, cualquier paquete que parece ser un SDK oficial tiene una ingreso probabilidad de ser adoptados por los operadores que ejecutan bots comerciales o administrando billeteras calientes”, señaló Pandya. “Una secreto privada comprometida en este entorno puede conducir a un robo inmediato e irreversible de fondos”.
“Al explotar la confianza del desarrollador en los nombres de paquetes familiares y el acolchado de código ladino con utilidades legítimas, estos paquetes convierten el explicación de Web3 de rutina en una tubería directa para amenazar a los bots de telegrama controlados por los actores”.
