Hackers injetaram um malware voltado ao roubo de carteiras em um pacote oficial de desenvolvimento da Injective (INJ), que registra em média 50 mil downloads por semana. A versão contaminada foi baixada 310 vezes antes de uma limpeza emergencial.
Principais pontos:
- Uma versão adulterada do principal kit TypeScript da Injective copiava frases-semente e chaves privadas de carteiras durante o uso normal.
- A release maliciosa se espalhou por 18 pacotes, foi baixada 310 vezes e ficou ativa por menos de uma hora.
- Pesquisadores afirmam que qualquer chave que tenha passado pelas versões afetadas deve ser tratada como comprometida.
Detalhes do backdoor no SDK da Injective
A empresa de segurança Socket revelou na quinta-feira que a versão 1.20.21 do pacote @injectivelabs/sdk-ts no npm foi alterada a partir da invasão de uma conta de colaborador no GitHub. O kit é um componente central para o desenvolvimento de carteiras, corretoras e bots de negociação na Injective, uma blockchain de camada 1 focada em finanças descentralizadas.
O código malicioso se disfarçava de telemetria inofensiva de uso e interceptava as funções que convertem uma frase-semente ou uma chave privada bruta em uma chave de assinatura utilizável. A cada chamada dessas funções por um aplicativo, o backdoor registrava silenciosamente os segredos, agrupava os dados por dois segundos e os enviava para um servidor que imitava a infraestrutura legítima da Injective. O material roubado era encapsulado em um cabeçalho de requisição HTTP, o que ajudava a camuflar o tráfego.
O processo automático de publicação replicou a mesma versão contaminada em outros 17 pacotes relacionados em questão de minutos após o primeiro commit malicioso, ampliando a superfície de exposição para equipes que nunca instalaram diretamente o kit principal.
Uma análise em nível de commit indicou que o payload foi ativado em 8 de julho e retirado do ar em menos de uma hora, com a versão corrigida 1.20.23 publicada logo em seguida.
O CEO da Injective, Eric Chen, afirmou que o problema já foi sanado e que nenhum fundo na rede está em risco. Apesar disso, a versão comprometida foi apenas marcada como obsoleta (deprecated) no npm, e não removida, permanecendo disponível para download. Artefatos do build adulterado também continuavam hospedados no GitHub no momento da divulgação.
Veja também: Momento do ETF de Solana fica mais difícil de ignorar após novo pedido da Bitwise
Por que as chaves de carteiras cripto foram o alvo
Pesquisadores classificaram o comprometimento como “significativo para desenvolvedores e aplicações que lidam com fluxos de carteira na Injective”, embora não tenham detalhado se houve de fato desvio de ativos. As equipes foram orientadas a tratar qualquer chave ou mnemônico que tenha passado pelas versões afetadas como comprometido, migrar fundos para novas carteiras e rotacionar todos os segredos em seus ambientes.
Ataques desse tipo não atacam diretamente a criptografia da blockchain. Em vez disso, os invasores corrompem as ferramentas de confiança usadas por desenvolvedores, transformando uma única conta sequestrada em um canal de distribuição capaz de alcançar, de forma silenciosa, milhares de aplicações a jusante.
Só o kit comprometido possui 87 outros pacotes npm como dependências diretas, segundo analistas relataram.
O episódio encerra uma sequência dura para o ecossistema de ferramentas open source em cripto, após um comprometimento similar de releases do Axios no npm em março e a campanha de malware TrapDoor, que atingiu desenvolvedores de cripto e DeFi em maio. A CertiK classificou os ataques a carteiras como o vetor mais oneroso do primeiro semestre de 2026, com US$ 444 milhões roubados em 33 incidentes.
Leia a seguir: Grok 4.5 desafia OpenAI e Anthropic com IA agentic mais barata





