Hacker haben eine Wallet-stehlende Malware in ein offizielles Injective-(INJ)-Entwicklerpaket eingeschleust, das im Schnitt 50.000 Downloads pro Woche verzeichnet. Die kompromittierte Version wurde 310-mal heruntergeladen, bevor sie wieder bereinigt wurde.
Wichtigste Fakten
- Eine manipulierte Version des zentralen TypeScript-SDKs von Injective griff während der normalen Nutzung Wallet-Seed-Phrasen und Private Keys ab.
- Die schädliche Version verbreitete sich auf 18 Pakete, wurde 310-mal geladen und war weniger als eine Stunde lang online.
- Sicherheitsforscher raten, alle Schlüssel, die über die betroffenen Versionen liefen, als kompromittiert zu betrachten.
Details zur Backdoor im Injective-SDK
Die Sicherheitsfirma Socket gab am Donnerstag bekannt, dass Version 1.20.21 des npm-Pakets @injectivelabs/sdk-ts über ein kompromittiertes Contributor-Konto auf GitHub manipuliert wurde. Das SDK ist ein zentrales Bauteil für Wallets, Börsen und Trading-Bots auf Injective, einer für DeFi entwickelten Layer-1-Blockchain.
Der schädliche Code tarnte sich als harmlose Nutzungsanalyse und hakte genau dort ein, wo aus einer Seed-Phrase oder einem rohen Private Key ein nutzbarer Signaturschlüssel erzeugt wird. Jedes Mal, wenn eine Anwendung diese Funktionen aufrief, wurden die Geheimnisse lautlos mitgeloggt, für zwei Sekunden gesammelt und anschließend an einen Server gesendet, der als legitime Injective-Infrastruktur getarnt war. Die Daten wurden in einem Request-Header mitgeschickt und gingen damit im normalen Traffic unter.
Durch den automatisierten Veröffentlichungsprozess wurde dieselbe vergiftete Version innerhalb von Minuten nach dem ersten bösartigen Commit auf 17 weitere, eng verbundene Pakete ausgerollt – und erreichte so Teams, die das ursprüngliche SDK nie direkt installiert hatten.
Eine Analyse auf Commit-Ebene ergab, dass die schädliche Nutzlast am 8. Juli live ging und innerhalb von weniger als einer Stunde wieder entfernt wurde. Kurz darauf folgte die bereinigte Version 1.20.23.
Injective-CEO Eric Chen betonte dem Vernehmen nach, das Problem sei behoben und Gelder im Netzwerk seien nicht gefährdet. Dennoch wurde die kompromittierte Version auf npm lediglich als veraltet markiert, aber nicht gelöscht – sie ist also weiterhin herunterladbar. Auch Build-Artefakte der manipulierten Version waren zum Zeitpunkt der Offenlegung noch auf GitHub verfügbar.
Auch interessant: Solanas ETF-Moment wird nach neuem Bitwise-Antrag immer schwerer zu ignorieren
Warum es auf Crypto-Wallet-Keys abgesehen war
Forscher stufen den Vorfall als „bedeutsam für Entwickler und Anwendungen, die Injective-Wallet-Workflows abbilden“ ein, ohne zu beziffern, ob tatsächlich Assets abgeflossen sind. Teams werden dringend aufgefordert, jeden Key und jede Mnemonic, die mit den betroffenen Versionen in Berührung kamen, als kompromittiert zu werten, Gelder in frische Wallets umzuziehen und sämtliche Secrets in ihren Umgebungen zu rotieren.
Angriffe dieser Art zielen nicht auf die Kryptografie der Blockchain selbst. Stattdessen vergiften sie die vertrauenswürdigen Werkzeuge der Entwickler. Ein einziges gekapertes Konto verwandelt sich so in einen Distributionskanal, der unbemerkt Tausende abhängiger Anwendungen erreicht.
Allein das kompromittierte SDK hat nach Analystenangaben 87 weitere npm-Pakete als direkte Abhängigkeiten.
Der Vorfall markiert den vorläufigen Höhepunkt einer schwierigen Phase für Open-Source-Krypto-Tools: Im März wurden bereits Axios-npm-Pakete kompromittiert, im Mai traf die TrapDoor-Malware-Kampagne gezielt Krypto- und DeFi-Entwickler. CertiK führt Wallet-Kompromittierungen als teuersten Angriffsvektor des ersten Halbjahres 2026 – mit Schadenfällen von insgesamt 444 Millionen US-Dollar in 33 Vorfällen.
Lesen Sie als Nächstes: Grok 4.5 fordert OpenAI und Anthropic mit günstigeren, agentenbasierten KI-Lösungen heraus





