Hackers injetaram malware para roubo de carteiras num pacote oficial de desenvolvimento da Injective (INJ), que soma em média 50 mil downloads por semana. A versão comprometida foi baixada 310 vezes antes de uma limpeza emergencial.
Principais pontos:
- Uma versão adulterada do principal kit TypeScript da Injective copiava frases-semente e chaves privadas de carteiras durante o uso normal.
- A release maliciosa espalhou-se por 18 pacotes, foi baixada 310 vezes e ficou ativa por menos de uma hora.
- Pesquisadores afirmam que qualquer chave que tenha passado pelas versões afetadas deve ser tratada como comprometida.
Detalhes do backdoor no SDK da Injective
A empresa de segurança Socket divulgou na quinta-feira que a versão 1.20.21 do pacote @injectivelabs/sdk-ts no npm foi alterada após o comprometimento da conta de um colaborador no GitHub. O kit é um componente central para carteiras, corretoras e robôs de negociação na Injective, uma blockchain de camada 1 voltada para finanças descentralizadas.
O código malicioso se disfarçava como telemetria inofensiva de uso e interceptava as funções que convertem uma frase-semente ou uma chave privada bruta em uma chave de assinatura utilizável. Sempre que uma aplicação chamava essas funções, o código registrava silenciosamente os segredos, agrupava-os por dois segundos e os enviava para um servidor que imitava a infraestrutura legítima da Injective. O material roubado era transportado em um cabeçalho de requisição, o que ajudava a se camuflar no tráfego normal.
O processo automatizado de publicação propagou a mesma versão envenenada para outros 17 pacotes relacionados em questão de minutos após o primeiro commit malicioso, ampliando a exposição para equipes que nunca instalaram o kit diretamente.
Uma análise ao nível de commit indicou que o payload entrou em produção em 8 de julho e foi removido em menos de uma hora, com a versão corrigida 1.20.23 publicada logo em seguida.
O CEO da Injective, Eric Chen, declarou que o problema já foi sanado e que não há fundos da rede em risco. Ainda assim, a release comprometida foi apenas descontinuada (deprecated) no npm, e não removida, o que a deixa tecnicamente disponível para download. Artefatos da build adulterada também permaneciam no GitHub no momento da divulgação.
Leia também: Momento ETF da Solana fica mais difícil de ignorar após novo pedido da Bitwise
Por que as chaves de carteiras cripto foram o alvo
Pesquisadores classificaram o incidente como “significativo para desenvolvedores e aplicações que lidam com fluxos de carteiras na Injective”, embora não tenham detalhado se houve efetivo roubo de ativos. As equipes foram orientadas a tratar como comprometida qualquer chave ou mnemônico que tenha passado pelas versões afetadas, migrar fundos para novas carteiras e rotacionar todos os segredos em seus ambientes.
Ataques desse tipo não atacam diretamente a criptografia da blockchain. Em vez disso, os invasores contaminam as ferramentas de confiança usadas por developers, transformando uma única conta sequestrada em um canal de distribuição capaz de atingir silenciosamente milhares de aplicações a jusante.
Só o kit comprometido tem 87 outros pacotes npm como dependentes diretos, conforme relataram analistas.
O episódio encerra um período duro para o ecossistema open source de ferramentas cripto, após um comprometimento semelhante de releases npm do Axios em março e a campanha de malware TrapDoor, que mirou developers de cripto e DeFi em maio. A CertiK classificou o comprometimento de carteiras como o vetor de ataque mais caro do primeiro semestre de 2026, com US$ 444 milhões roubados em 33 incidentes.
Próximo texto: Grok 4.5 desafia OpenAI e Anthropic com IA agentic mais barata





