Hacker hanno inserito un malware per il furto di wallet all’interno di un pacchetto ufficiale per sviluppatori di Injective (INJ), che registra in media 50.000 download settimanali. La versione avvelenata è stata scaricata 310 volte prima di essere ripulita.
Punti chiave:
- Una versione manomessa del principale kit TypeScript di Injective copiava seed phrase e chiavi private dei wallet durante il normale utilizzo.
- Il rilascio malevolo si è propagato su 18 pacchetti, è stato scaricato 310 volte ed è rimasto online per meno di un’ora.
- I ricercatori avvertono che tutte le chiavi passate dalle versioni compromesse vanno considerate violate.
I dettagli della backdoor nell’SDK Injective
La società di sicurezza Socket ha rivelato giovedì che la versione 1.20.21 del pacchetto @injectivelabs/sdk-ts su npm era stata modificata tramite il compromesso di un account di contributor su GitHub. Il kit è un componente fondamentale per wallet, exchange e trading bot su Injective, blockchain layer-1 progettata per la finanza decentralizzata.
Il codice malevolo si spacciava per innocente telemetria d’uso e si agganciava alle funzioni che trasformano una seed phrase o una chiave privata grezza in una chiave di firma operativa. A ogni chiamata dell’applicazione, il modulo registrava di nascosto i segreti, li raggruppava ogni due secondi e li inviava a un server camuffato da normale infrastruttura Injective. Il materiale sottratto viaggiava all’interno di un header della richiesta, mimetizzandosi nel traffico ordinario.
I flussi di pubblicazione automatica hanno propagato la stessa versione avvelenata in altri 17 pacchetti correlati nel giro di pochi minuti dal primo commit malevolo, ampliando l’esposizione a team che non avevano installato direttamente il kit principale.
Un’analisi a livello di commit ha mostrato che il payload è stato messo online l’8 luglio ed è rimasto disponibile meno di un’ora, prima di essere sostituito da una versione pulita, la 1.20.23.
Il CEO di Injective, Eric Chen, ha dichiarato che il problema è stato già risolto e che i fondi sulla rete non risultano a rischio. Tuttavia, la release compromessa è stata solo deprecata su npm e non rimossa, restando quindi scaricabile. Al momento della divulgazione, anche gli artifact della build manomessa risultavano ancora presenti su GitHub.
Vedi anche: Il momento ETF di Solana diventa difficile da ignorare dopo il nuovo filing di Bitwise
Perché puntare alle chiavi dei wallet crypto
I ricercatori hanno definito il compromesso “significativo per sviluppatori e applicazioni che gestiscono i flussi wallet su Injective”, pur senza chiarire se qualche asset sia stato effettivamente sottratto. Ai team è stato raccomandato di considerare compromessa qualsiasi chiave o mnemonica che abbia transitato sulle versioni affette, spostare i fondi su nuovi wallet e ruotare tutte le credenziali nei rispettivi ambienti.
Attacchi di questo tipo non intaccano la crittografia della blockchain: gli intrusi preferiscono avvelenare gli strumenti fidati degli sviluppatori, trasformando un singolo account compromesso in un canale di distribuzione capace di raggiungere in silenzio migliaia di applicazioni a valle.
Solo il kit compromesso conta 87 pacchetti npm direttamente dipendenti, hanno segnalato gli analisti.
L’episodio chiude un periodo particolarmente duro per gli strumenti open source nel mondo crypto, dopo un compromesso analogo nelle release npm di Axios a marzo e la campagna malware TrapDoor che a maggio ha preso di mira sviluppatori crypto e DeFi. CertiK ha classificato i compromessi dei wallet come il vettore di attacco più costoso del primo semestre 2026, con 444 milioni di dollari sottratti in 33 incidenti.
Da leggere dopo: Grok 4.5 sfida OpenAI e Anthropic con un’AI agentica più economica





