Hackers comprometem SDK de 50 mil downloads da Injective para roubar frases-semente de desenvolvedores

Hackers comprometem SDK de 50 mil downloads da Injective para roubar frases-semente de desenvolvedores

Hackers inseriram um malware para roubo de carteiras em um pacote oficial de desenvolvimento da Injective (INJ), que registra em média 50 mil downloads semanais. A versão contaminada foi baixada 310 vezes antes de uma limpeza emergencial.

Principais pontos:

  • Uma versão adulterada do principal kit TypeScript da Injective copiava frases-semente e chaves privadas de carteiras durante o uso normal.
  • A versão maliciosa se espalhou por 18 pacotes, foi baixada 310 vezes e ficou ativa por menos de uma hora.
  • Pesquisadores afirmam que qualquer chave que tenha passado pelas versões afetadas deve ser tratada como comprometida.

Detalhes do backdoor no SDK da Injective

A empresa de segurança Socket divulgou, na quinta-feira, que a versão 1.20.21 do pacote @injectivelabs/sdk-ts no npm foi alterada por meio da invasão de uma conta de colaborador no GitHub. O kit é um componente central para carteiras, corretoras e bots de negociação na Injective, uma blockchain de camada 1 voltada para finanças descentralizadas.

O código malicioso se disfarçava de telemetria inofensiva e interceptava as funções que transformam uma frase-semente ou chave privada bruta em uma chave de assinatura utilizável. A cada chamada dessas funções por um aplicativo, o módulo registrava silenciosamente os segredos, agrupava-os por dois segundos e os enviava para um servidor caracterizado como parte da infraestrutura legítima da Injective. O material roubado viajava dentro de um cabeçalho de requisição HTTP, o que ajudava a se misturar ao tráfego comum.

Um processo de publicação automatizada propagou a mesma versão contaminada para outros 17 pacotes relacionados em poucos minutos após o primeiro commit malicioso, ampliando a exposição para equipes que nunca instalaram o kit principal diretamente.

Uma análise em nível de commit mostrou que a carga maliciosa entrou em produção em 8 de julho e foi retirada em menos de uma hora. Em seguida, foi disponibilizada a versão corrigida 1.20.23.

O CEO da Injective, Eric Chen, afirmou que o problema já foi sanado e que não há risco para os fundos na rede. Ainda assim, a versão comprometida foi apenas descontinuada (deprecated) no npm, e não removida, permanecendo disponível para download. Artefatos da build adulterada também continuavam acessíveis no GitHub no momento da divulgação.

Leia também: Momento de ETF da Solana fica mais difícil de ignorar após novo protocolo da Bitwise

Por que chaves de carteiras cripto viraram alvo

Pesquisadores classificaram o incidente como “significativo para desenvolvedores e aplicações que lidam com fluxos de carteira da Injective”, embora não tenham detalhado se houve desvio efetivo de ativos. As equipes foram orientadas a considerar comprometida qualquer chave ou mnemônico que tenha passado pelas versões afetadas, migrar fundos para novas carteiras e rotacionar todos os segredos em seus ambientes.

Ataques desse tipo não precisam quebrar a criptografia da blockchain. Em vez disso, os invasores envenenam ferramentas confiáveis usadas por desenvolvedores, transformando uma única conta sequestrada em um canal de distribuição capaz de atingir silenciosamente milhares de aplicações a jusante.

Só o kit comprometido tem 87 outros pacotes npm como dependentes diretos, segundo analistas relataram.

O episódio encerra um período particularmente difícil para o ecossistema de código aberto em cripto, após comprometimentos semelhantes de versões do Axios no npm em março e da campanha de malware TrapDoor, que atingiu desenvolvedores de cripto e DeFi em maio. A CertiK classificou ataques a carteiras como o vetor mais custoso do primeiro semestre de 2026, com US$ 444 milhões roubados em 33 incidentes.

Próximo conteúdo: Grok 4.5 desafia OpenAI e Anthropic com IA agentic mais barata

Isenção de responsabilidade e aviso de risco: As informações fornecidas neste artigo são apenas para fins educacionais e informativos e são baseadas na opinião do autor. Elas não constituem aconselhamento financeiro, de investimento, jurídico ou tributário. Ativos de criptomoedas são altamente voláteis e sujeitos a alto risco, incluindo o risco de perder todo ou uma quantia substancial do seu investimento. Negociar ou manter ativos cripto pode não ser adequado para todos os investidores. As opiniões expressas neste artigo são exclusivamente do(s) autor(es) e não representam a política oficial ou posição da Yellow, seus fundadores ou seus executivos. Sempre conduza sua própria pesquisa minuciosa (D.Y.O.R.) e consulte um profissional financeiro licenciado antes de tomar qualquer decisão de investimento.