Hackers inseriram malware para roubo de carteiras num pacote oficial de desenvolvimento da Injective (INJ), que regista em média 50 mil downloads por semana. A versão contaminada foi descarregada 310 vezes antes de ser rapidamente substituída.
Principais pontos:
- Uma versão adulterada do principal kit TypeScript da Injective copiava frases-semente e chaves privadas de carteiras durante o uso normal.
- A versão maliciosa espalhou‑se por 18 pacotes, foi descarregada 310 vezes e ficou ativa por menos de uma hora.
- Investigadores afirmam que qualquer chave que tenha passado pelas versões afetadas deve ser considerada comprometida.
Detalhes do backdoor no SDK da Injective
A empresa de segurança Socket revelou, na quinta‑feira, que a versão 1.20.21 do pacote @injectivelabs/sdk-ts no npm foi alterada através da violação de uma conta de contribuidor no GitHub. O kit é um dos blocos fundamentais usados para construir carteiras, bolsas e bots de trading na Injective, uma blockchain de camada 1 voltada para finanças descentralizadas.
O código malicioso fingia ser uma simples ferramenta de análise de uso e interceptava as funções responsáveis por transformar uma frase‑semente ou chave privada bruta numa chave de assinatura utilizável. Sempre que uma aplicação chamava essas funções, o módulo registava silenciosamente os segredos, agrupava‑os durante dois segundos e enviava‑os para um servidor disfarçado de infraestrutura legítima da Injective. O material roubado seguia num cabeçalho de pedido HTTP, o que permitia misturá‑lo com o tráfego normal.
O processo automatizado de publicação propagou a mesma versão envenenada para outros 17 pacotes relacionados, em poucos minutos após o primeiro commit malicioso, ampliando a superfície de exposição para equipas que nunca tinham instalado diretamente o kit original.
Uma análise ao nível de commit mostrou que a carga maliciosa entrou em produção em 8 de julho e foi retirada em menos de uma hora, com a versão limpa 1.20.23 a ser publicada logo depois.
O CEO da Injective, Eric Chen, afirmou que o problema já foi resolvido e que não há fundos da rede em risco. Ainda assim, a versão comprometida foi apenas marcada como obsoleta (deprecated) no npm, em vez de removida, continuando tecnicamente disponível para download. Artefactos da build adulterada também permaneciam no GitHub à data da divulgação.
Leia também: Momento ETF da Solana torna‑se difícil de ignorar após novo pedido da Bitwise
Por que as chaves de carteiras cripto foram o alvo
Investigadores classificaram o incidente como “significativo para developers e aplicações que lidam com fluxos de trabalho de carteiras Injective”, embora não tenham indicado se houve ou não roubo efetivo de ativos. As equipas foram aconselhadas a tratar qualquer chave ou mnemónico que tenha passado pelas versões afetadas como comprometido, mover fundos para novas carteiras e rodar todos os segredos usados nos seus ambientes.
Ataques deste tipo não afetam diretamente a criptografia da blockchain. Em vez disso, os invasores envenenam as ferramentas de confiança usadas pelos developers, transformando uma única conta sequestrada num canal de distribuição capaz de atingir, de forma silenciosa, milhares de aplicações a jusante.
Só o kit comprometido tem 87 outros pacotes npm como dependências diretas, segundo relatos de analistas.
O episódio encerra um período difícil para o ecossistema de ferramentas cripto open source, após um compromisso semelhante em versões npm do Axios em março e a campanha de malware TrapDoor, que atingiu developers de cripto e DeFi em maio. A CertiK classificou o comprometimento de carteiras como o vetor de ataque mais dispendioso do primeiro semestre de 2026, com 444 milhões de dólares roubados em 33 incidentes.
A seguir: Grok 4.5 desafia OpenAI e Anthropic com IA agente mais barata





