Un reciente hallazgo en el ecosistema de desarrollo en Python ha encendido las alarmas en la comunidad de ciberseguridad. Investigadores han identificado un paquete peligroso publicado en el repositorio Python Package Index (PyPI), diseñado específicamente para comprometer la seguridad de usuarios que interactúan con el exchange de criptomonedas MEXC. Este paquete, disfrazado como una extensión legítima, redirige las órdenes comerciales hacia un servidor controlado por atacantes, permitiendo el robo de tokens y la exposición de claves API confidenciales.
ccxt-mexc-futures: Un caballo de Troya en PyPI
El paquete malicioso, bautizado como ccxt-mexc-futures, imita ser una extensión genuina de la popular biblioteca ccxt (CryptoCurrency eXchange Trading). Esta biblioteca es ampliamente utilizada por desarrolladores para interactuar con múltiples exchanges de criptomonedas mediante una interfaz unificada de programación (API), facilitando operaciones automatizadas de trading y procesamiento de pagos en plataformas como Binance, Kraken y MEXC.
Aunque el paquete ccxt-mexc-futures ya ha sido eliminado de PyPI, estadísticas del sitio pepy.tech revelan que fue descargado al menos 1.065 veces, lo que implica un riesgo potencial para cientos de desarrolladores o sistemas automatizados que lo hayan integrado.
¿Cómo funciona el ataque?
De acuerdo con un informe del investigador Guy Korolevski de la empresa JFrog, el código malicioso introduce cambios estratégicos en la biblioteca para interceptar las funciones de trading relacionadas con MEXC. En concreto, el paquete anula dos API clave de la biblioteca original:
1 | contract_private_post_order_submit |
y
1 | contract_private_post_order_cancel |
. A estas se les añade una tercera función fraudulenta denominada
1 | spot4_private_post_order_place |
.
Mediante esta manipulación, los atacantes engañan a los desarrolladores para que, sin saberlo, ejecuten funciones que envían órdenes comerciales al servidor malicioso en lugar del destino legítimo, mexc.com.
Redirección de solicitudes y robo de tokens
La naturaleza del ataque radica en una técnica de intercepción y redirección de tráfico API. Las funciones alteradas están diseñadas para recuperar código malicioso desde un dominio falso que se hace pasar por MEXC:
1 | v3.mexc.workers[.]dev |
. Este código configura internamente el paquete para redirigir todas las solicitudes de API hacia el dominio greentreeone[.]com, controlado por los atacantes.
Esto significa que cualquier intento de crear, cancelar o colocar una orden de trading desde el sistema comprometido termina enviando información confidencial al servidor del atacante. Entre los datos filtrados se incluyen:
-
Claves API de MEXC
-
Claves secretas
-
Tokens de autenticación
-
Detalles de las órdenes comerciales
Como resultado, los atacantes obtienen control total sobre las cuentas de trading de las víctimas y pueden ejecutar operaciones fraudulentas o vaciar los fondos sin ser detectados de inmediato.
Recomendaciones de seguridad
A los usuarios que hayan instalado el paquete ccxt-mexc-futures se les recomienda:
-
Eliminar inmediatamente el paquete del entorno de desarrollo.
-
Revocar todas las claves API asociadas a MEXC y generar nuevas.
-
Auditar los registros de actividad de sus cuentas de exchange para detectar operaciones no autorizadas.
-
Evitar instalar paquetes de PyPI sin una verificación previa, especialmente si no provienen de fuentes oficiales o de desarrolladores verificados.
Contexto más amplio: amenazas en la cadena de suministro de software
Este incidente no es aislado. Según la plataforma Socket, se ha observado una tendencia creciente en el uso de paquetes maliciosos dentro de los ecosistemas npm, PyPI, Go y Maven. Los atacantes insertan código diseñado para abrir shells inversos, mantener persistencia en el sistema y exfiltrar datos sensibles.
Estas amenazas apuntan directamente a la cadena de suministro de software, explotando la confianza que los desarrolladores depositan en bibliotecas de código abierto. Incluso herramientas basadas en inteligencia artificial, como los grandes modelos de lenguaje (LLM), han sido señaladas como posibles vectores de ataque al recomendar erróneamente paquetes inexistentes o maliciosos a través de “alucinaciones”.
Slopsquatting: una técnica emergente
Una de las técnicas que se ha popularizado en este contexto es el slopsquatting, que consiste en registrar paquetes con nombres similares a los sugeridos erróneamente por modelos de IA generativa. Esto aumenta la posibilidad de que un desarrollador desprevenido descargue e instale un paquete peligroso, creyendo que es legítimo.
Un estudio académico reciente descubrió que al menos un 5.2% de los paquetes recomendados por modelos comerciales y hasta un 21.7% por modelos de código abierto son completamente ficticios. Se identificaron más de 205.000 nombres únicos de paquetes “alucinados”, lo que resalta la gravedad del problema.
En conclusión, el caso de ccxt-mexc-futures es un claro ejemplo de cómo los atacantes están adaptando sus métodos para infiltrarse en los entornos de desarrollo modernos y comprometer la seguridad de los sistemas criptográficos. A medida que las criptomonedas y las aplicaciones descentralizadas ganan protagonismo, la seguridad en el ecosistema de desarrollo de software se vuelve más crítica que nunca.
La mejor defensa es una combinación de vigilancia activa, herramientas de análisis de dependencias y una comunidad desarrolladora informada. La detección temprana de paquetes maliciosos y la rápida revocación de credenciales son claves para minimizar el impacto de este tipo de amenazas.
Fuente: The Hacker News
