Atacantes infiltraron malware para robar monederos en un paquete oficial de desarrollo de Injective (INJ), con una media de 50.000 descargas semanales. La versión contaminada se descargó 310 veces antes de que el equipo reaccionara y limpiara el repositorio.
Claves del suceso:
- Una versión manipulada del principal kit TypeScript de Injective copiaba frases semilla y claves privadas de monederos durante su uso normal.
- La versión maliciosa se propagó por 18 paquetes, se descargó 310 veces y permaneció activa menos de una hora.
- Los investigadores recomiendan considerar comprometida cualquier clave que haya pasado por las versiones afectadas.
Detalles del backdoor en el SDK de Injective
La firma de seguridad Socket reveló el jueves que la versión 1.20.21 del paquete @injectivelabs/sdk-ts en npm había sido modificada tras el compromiso de una cuenta de colaborador en GitHub. Este kit es una pieza central para el desarrollo de monederos, exchanges y bots de trading sobre Injective, una blockchain de capa 1 orientada a las finanzas descentralizadas.
El código malicioso se hacía pasar por un módulo inocuo de analítica de uso y enganchaba las funciones que convierten una frase semilla o una clave privada en bruto en una clave de firma utilizable. Cada vez que una aplicación las llamaba, el módulo registraba en secreto estas credenciales, las agrupaba durante dos segundos y las enviaba a un servidor que se disfrazaba como infraestructura legítima de Injective. El material robado viajaba dentro de una cabecera de petición, lo que le permitía camuflarse entre el tráfico normal.
El sistema de publicación automatizada propagó esa misma versión envenenada a otros 17 paquetes relacionados en cuestión de minutos desde el primer commit malicioso, ampliando la superficie de exposición a equipos que nunca habían instalado el kit de forma directa.
Un análisis a nivel de commits mostró que la carga útil se activó el 8 de julio y fue retirada en menos de una hora, seguida poco después por una versión limpia, la 1.20.23.
El CEO de Injective, Eric Chen, aseguró que el problema ya está resuelto y que los fondos en la red no corren peligro. Sin embargo, la versión comprometida solo fue marcada como obsoleta en npm, en lugar de eliminarse por completo, de modo que sigue siendo descargable. Además, en el momento de la divulgación aún quedaban artefactos de la build contaminada alojados en GitHub.
También te puede interesar: El “momento ETF” de Solana es cada vez más difícil de ignorar tras la nueva solicitud de Bitwise
Por qué las claves de monedero eran el objetivo
Los investigadores calificaron el compromiso como “significativo para los desarrolladores y aplicaciones que gestionan flujos de trabajo de monederos en Injective”, aunque no detallaron si se han detectado robos efectivos de criptoactivos. Los equipos fueron instados a tratar como comprometida cualquier clave o mnemónico que haya pasado por las versiones afectadas, mover los fondos a monederos nuevos y rotar todos los secretos de sus entornos.
Ataques de este tipo no llegan a tocar la criptografía de la blockchain. En su lugar, los intrusos envenenan las herramientas de confianza que utilizan los desarrolladores, convirtiendo una sola cuenta secuestrada en un canal de distribución capaz de alcanzar silenciosamente miles de aplicaciones dependientes.
Solo el kit comprometido tiene 87 paquetes de npm que dependen directamente de él, según informaron los analistas.
Este episodio culmina un periodo especialmente duro para el ecosistema de herramientas cripto de código abierto, tras un compromiso similar de versiones de Axios en npm en marzo y la campaña de malware TrapDoor que golpeó a desarrolladores de cripto y DeFi en mayo. CertiK clasificó los compromisos de monederos como el vector de ataque más costoso de la primera mitad de 2026, con 444 millones de dólares sustraídos en 33 incidentes.
Lee a continuación: Grok 4.5 desafía a OpenAI y Anthropic con IA agentiva más barata





