A tangled ball of colorful wires with a shadowy
Cripto

Pacote npm do Injective SDK tem backdoor para chaves…

@Injectivelabs/sdk-ts v1.20.21 foi baixado 310 vezes antes da remoção, e pesquisadores recomendaram a rotação de chaves para quaisquer carteiras expostas.

Por AI News Crypto Editorial Team5 min de leitura

Um comprometimento na cadeia de suprimentos atingiu o pacote npm amplamente utilizado @injectivelabs/sdk-ts, com atacantes modificando a versão 1.20.21 para roubar chaves privadas de carteiras e frases-semente. A versão maliciosa foi removida e descontinuada, mas os pesquisadores alertaram que quaisquer segredos tratados pelos pacotes afetados devem ser considerados comprometidos.

Principais Conclusões

  • Uma versão maliciosa do @injectivelabs/sdk-ts (v1.20.21) foi alterada para capturarchaves privadase mnemônicos, conectando-se às funções de derivação de chaves da carteira e enviando dados via “telemetria falsa.”
  • A pegada do SDK é grande, com cerca de 50.000 downloads semanais, embora a versão específica comprometida tenha sido retirada após 310 downloads.
  • O risco de exposição se estende além das instalações diretas, pois a v1.20.21 foi fixada em 17 outros pacotes no escopo npm da Injective Labs.
  • Os pesquisadores aconselharam a tratar quaisquer chaves oufrases-sementepassadas por pacotes afetados como comprometidas, enquanto o CEO da Injective, Eric Chen, disse que o problema foi resolvido e que “Nenhum fundo na rede está em risco,” com as versões afetadas descontinuadas.

Segredos de Carteira Alvo da Porta dos Fundos do SDK npm da Injective

Um ataque à cadeia de suprimentos de software comprometeu as ferramentas de desenvolvimento da Injective ao inserir um backdoor no pacote npm @injectivelabs/sdk-ts. Pesquisadores de segurança da Socket divulgaram que a versão 1.20.21 foi modificada para roubar chaves privadas de carteiras de criptomoedas e frases-semente (mnemônicas), um golpe direto na segurança da carteira em vez de uma falha a nível de protocolo.

O código malicioso foi removido. O CEO da Injective, Eric Chen, disse: “já está corrigido, e as versões afetadas no npm já estão obsoletas” e acrescentou: “Nenhum fundo na rede está em risco”, caracterizando o incidente como uma compromissão de dependência que poderia impactar desenvolvedores e usuários que executaram versões afetadas, e não a própria cadeia da Injective.

Como a v1.20.21 Exfiltrou Chaves via “Telemetria Falsa”

A descrição do Socket é direta: “A liberação maliciosa intercepta funções de derivação de chaves de carteira, registra chaves privadas e mnemônicos, e os exfiltra através de telemetria falsa,” o que significa que a criação ou os fluxos de derivação de carteira normais podem vazar segredos silenciosamente.

O caminho de intrusão é importante. Socket vinculou a modificação a uma conta de desenvolvedor do GitHub comprometida, com commits suspeitos começando em 8 de junho. Isso cria uma janela de risco clara para qualquer pessoa que instalou ou construiu contra a dependência afetada durante esse período.

A exfiltração foi projetada para se misturar. Os dados roubados foram codificados e enviados para uma webendereçofeito para se assemelhar a um servidor legítimo da rede Injective, consistente com o roubo de credenciais que visa evitar a quebra de aplicativos ou a ativação de alarmes imediatos.

Raio de Explosão: 50.000 Downloads Semanais e 17 Pacotes Fixados

A escala do pacote é o problema operacional. @injectivelabs/sdk-ts vê cerca de 50.000 downloads semanais, e a Socket chamou essa pegada de "significativa para desenvolvedores e aplicações que lidam com fluxos de trabalho da carteira Injective." O lançamento malicioso específico foi baixado 310 vezes antes da remoção, o que sugere uma distribuição confirmada limitada da v1.20.21 em si, mas não necessariamente uma exposição limitada a jusante.

O risco de segunda ordem é a propagação da dependência. A Socket disse que a v1.20.21 estava fixada em 17 outros pacotes no escopo npm da Injective Labs, "expondo usuários que podem não ter instalado o SDK diretamente." Na prática, dependências fixadas podem puxar uma versão comprometida para as compilações através de instalações transitivas, ampliando o conjunto de aplicações afetadas além das equipes que atualizaram o SDK conscientemente.

A remediação não é apenas "atualizar e seguir em frente." A Socket alertou: "Quaisquer chaves ou mnemônicos passados através de pacotes afetados devem ser tratados como comprometidos," implicando migração de carteira e rotação de chaves para quaisquer segredos que tocaram o código comprometido.

A Socket também disse que o desenvolvedor cuja conta foi infiltrada detectou rapidamente o comprometimento, mas alertou que "a campanha em si ainda não está totalmente contida," deixando incerteza em torno de lançamentos ou pacotes adicionais afetados.

Por que o roubo de carteiras na cadeia de suprimentos continua aparecendo em criptomoedas

Este incidente se encaixa em um padrão: os atacantes estão cada vez mais visando trilhos de distribuição confiáveis como npm e GitHub em vez de tentar quebrar a criptografia da cadeia.

A Security Alliance (SEAL) alertou que "sistemas comprometidos estão sendo usados para empurrar código malicioso diretamente para os repositórios GitHub de uma empresa, transformando um único comprometimento em um canal de distribuição para o próximo," e observou que o malware está se tornando mais amplo "com cargas úteis multiplataforma, incluindo um aumento em campanhas específicas para macOS, que combinam infostealers, RATs (trojans de acesso remoto) e capacidades de backdoor em um único pacote."

O incentivo é claro. A CertiK relatou que os comprometimentos de carteiras foram o vetor de ataque mais custoso no primeiro semestre de 2026, com $444 milhões roubados em 33 incidentes.

O acompanhamento agora importa mais do que a divulgação inicial. Comerciantes e usuários de DeFi devem procurar atualizações sobre se a campanha está totalmente contida, se quaisquer pacotes adicionais do escopo Injective foram afetados além da @injectivelabs/sdk-ts v1.20.21, e se quaisquer fundos roubados são confirmados a partir de chaves que passaram por compilações impactadas.

Do lado do desenvolvedor, o sinal é a remediação pública: status de depreciação em todo o escopo npm da Injective Labs e se projetos importantes confirmam rotação de chaves ou migrações de carteira após exposição potencial.

Trate isso como um evento de risco de carteira, não como uma história de falha na cadeia

Eu trato isso como uma configuração de comprometimento de carteira com desvantagem assimétrica para qualquer um que tocou na dependência durante a janela de intrusão, não como uma exploração de protocolo que deveria reavaliar mecanicamente o risco da cadeia da Injective.

A afirmação de Chen de "Nenhum fundo na rede está em risco," é consistente com essa estrutura, mas não reduz a urgência para desenvolvedores e usuários avançados porque o alvo do roubo é o material secreto que controla as carteiras.

O limite que importa é se drenagens a jusante são atribuídas a chaves derivadas ou manipuladas através dos pacotes afetados. Se essa ligação aparecer e a remediação permanecer desigual entre as dApps da Injective, a configuração começa a parecer estrutural em vez de impulsionada por narrativas, porque traduziria um incidente de cadeia de suprimentos em perdas reais e repetidas de carteiras.

Fontes