Atacantes insertaron malware para robar monederos en un paquete oficial de desarrollo de Injective (INJ), que registra unas 50.000 descargas semanales. La versión contaminada se descargó 310 veces antes de que fuera retirada con rapidez.
Claves del ataque:
- Una versión manipulada del principal kit TypeScript de Injective copiaba frases semilla y claves privadas de monederos durante su uso normal.
- La versión maliciosa se propagó por 18 paquetes, se descargó 310 veces y permaneció activa menos de una hora.
- Los investigadores recomiendan considerar comprometida cualquier llave que haya pasado por las versiones afectadas.
Detalles de la puerta trasera en el SDK de Injective
La firma de seguridad Socket reveló el jueves que la versión 1.20.21 del paquete @injectivelabs/sdk-ts en npm había sido alterada a través de la cuenta comprometida de un colaborador en GitHub. El kit es un bloque de construcción esencial para monederos, exchanges y bots de trading en Injective, una blockchain de capa 1 enfocada en finanzas descentralizadas.
El código malicioso se hacía pasar por simple analítica de uso y enganchaba las funciones que convierten una frase semilla o una clave privada en crudo en una clave de firma operativa. Cada vez que una aplicación las llamaba, el módulo registraba silenciosamente esos secretos, los agrupaba durante dos segundos y los enviaba a un servidor disfrazado de infraestructura legítima de Injective. El material robado viajaba dentro de una cabecera de la petición, lo que le permitía camuflarse en el tráfico ordinario.
El sistema de publicación automatizada propagó esa misma versión envenenada a otros 17 paquetes relacionados en cuestión de minutos desde el primer commit malicioso, ampliando la superficie de exposición a equipos que nunca instalaron directamente el kit principal.
Un análisis a nivel de commit mostró que la carga útil se activó el 8 de julio y fue retirada en menos de una hora, seguida poco después por la versión limpia 1.20.23.
El director ejecutivo de Injective, Eric Chen, afirmó que el problema ya está resuelto y que no hay fondos de la red en riesgo. Sin embargo, la versión comprometida solo fue marcada como obsoleta (deprecated) en npm en lugar de eliminarse por completo, por lo que seguía disponible para descarga. Además, los artefactos de la build alterada permanecían en GitHub en el momento de la divulgación.
También te puede interesar: El momento ETF de Solana es cada vez más difícil de ignorar tras la nueva solicitud de Bitwise
Por qué las llaves de monederos cripto fueron el objetivo
Los investigadores calificaron el incidente como “significativo para desarrolladores y aplicaciones que gestionan flujos de trabajo de monederos en Injective”, aunque no precisaron si se llegaron a sustraer activos. Los equipos fueron instados a tratar como comprometida cualquier llave o mnemónico que haya pasado por las versiones afectadas, a mover los fondos a monederos nuevos y a rotar todos los secretos de sus entornos.
Ataques de este tipo nunca llegan a vulnerar la criptografía de la blockchain. En su lugar, los intrusos contaminan las herramientas de confianza que usan los desarrolladores, convirtiendo una sola cuenta secuestrada en un canal de distribución capaz de alcanzar, sin hacer ruido, a miles de aplicaciones dependientes.
Solo el kit comprometido tiene 87 paquetes npm que dependen directamente de él, según informaron los analistas.
El episodio pone broche a un periodo especialmente duro para las herramientas cripto de código abierto, tras un compromiso similar de versiones de Axios en npm en marzo y la campaña de malware TrapDoor que golpeó a desarrolladores de cripto y DeFi en mayo. CertiK situó las brechas en monederos como el vector de ataque más costoso del primer semestre de 2026, con 444 millones de dólares robados en 33 incidentes.
Lee a continuación: Grok 4.5 planta cara a OpenAI y Anthropic con una IA agentica más barata





