Hacker hanno inserito un malware per il furto di wallet all’interno di un pacchetto di sviluppo ufficiale di Injective (INJ), che registra in media 50.000 download settimanali: la versione contaminata è stata scaricata 310 volte prima di essere rapidamente ripulita.
Punti chiave
- Una versione manomessa del principale kit TypeScript di Injective copiava seed phrase e chiavi private dei wallet durante il normale utilizzo.
- La release malevola si è propagata su 18 pacchetti, è stata scaricata 310 volte ed è rimasta online per meno di un’ora.
- I ricercatori raccomandano di considerare compromessa qualsiasi chiave passata dalle versioni interessate.
Dettagli sulla backdoor nell’SDK di Injective
La società di sicurezza Socket ha rivelato giovedì che la versione 1.20.21 del pacchetto @injectivelabs/sdk-ts su npm era stata alterata tramite la compromissione di un account contributor su GitHub. Il kit rappresenta un componente essenziale per wallet, exchange e trading bot su Injective, blockchain layer-1 progettata per la finanza decentralizzata.
Il codice ostile si spacciava per innocua telemetria d’uso e agganciava le funzioni che trasformano una seed phrase o una chiave privata grezza in una chiave di firma operativa. Ogni volta che un’applicazione richiamava tali funzioni, il malware registrava in silenzio i segreti, li raggruppava per due secondi e li inviava a un server camuffato da infrastruttura legittima di Injective. Il materiale rubato viaggiava all’interno di un header della richiesta, mimetizzandosi nel traffico ordinario.
Il sistema di pubblicazione automatica ha propagato la stessa versione avvelenata su altri 17 pacchetti collegati nel giro di pochi minuti dal primo commit malevolo, ampliando l’esposizione anche a team che non avevano installato direttamente il kit principale.
Un’analisi a livello di commit ha evidenziato che il payload è diventato operativo l’8 luglio ed è stato rimosso in meno di un’ora, con il rilascio rapido della versione corretta 1.20.23.
Il CEO di Injective, Eric Chen, ha dichiarato che la vulnerabilità è stata risolta e che i fondi sulla rete non risultano a rischio. Tuttavia, la release compromessa è stata solo deprecata su npm, anziché completamente rimossa, restando quindi scaricabile. Al momento della divulgazione, anche gli artifact del build contaminato erano ancora disponibili su GitHub.
Articolo correlato: Il momento ETF di Solana diventa difficile da ignorare dopo la nuova domanda di Bitwise
Perché i wallet crypto erano l’obiettivo
I ricercatori hanno definito la compromissione «significativa per sviluppatori e applicazioni che gestiscono i flussi di lavoro dei wallet Injective», senza specificare se si siano già verificate perdite di asset. Ai team è stato consigliato di considerare compromessa qualsiasi chiave o mnemonico che abbia toccato le versioni interessate, spostare i fondi su nuovi wallet e ruotare tutte le credenziali sensibili nei propri ambienti.
Attacchi di questo tipo non intervengono sulla crittografia della blockchain. Gli intrusi puntano invece a contaminare gli strumenti fidati che gli sviluppatori usano ogni giorno, trasformando un singolo account di sviluppo compromesso in un canale di distribuzione in grado di raggiungere silenziosamente migliaia di applicazioni a valle.
Solo il kit compromesso conta 87 pacchetti npm dipendenti diretti, hanno segnalato gli analisti.
L’episodio arriva al termine di un periodo particolarmente difficile per gli strumenti open source nel settore crypto, dopo una compromissione analoga delle release Axios su npm a marzo e la campagna malware TrapDoor che ha preso di mira sviluppatori crypto e DeFi a maggio. CertiK ha classificato le compromissioni di wallet come il vettore di attacco economicamente più dannoso del primo semestre 2026, con 444 milioni di dollari sottratti in 33 incidenti.
Da leggere prossimamente: Grok 4.5 sfida OpenAI e Anthropic con un’AI agentica più economica





