Socket ha descubierto que una actualización maliciosa en un paquete de desarrolladores de Injective expuso claves privadas y frases semilla tras ser descargada más de 300 veces.
Según la empresa de seguridad Socket, la versión 1.20.21 del paquete npm @injectivelabs/sdk-ts, que tiene unas 50.000 descargas semanales, fue alterada después de que la cuenta de GitHub de un desarrollador fuera comprometida. Los commits sospechosos comenzaron el 8 de junio y la versión maliciosa fue fijada posteriormente en otros 17 paquetes bajo el ámbito npm de Injective Labs.
La empresa de seguridad indicó que el código interceptaba las funciones de generación de claves de la billetera, registraba las claves privadas y las frases de recuperación, luego codificaba los datos y los enviaba a través de telemetría falsa a una dirección web diseñada para parecerse a un servidor de Injective.
«Cualquier clave o mnemónico pasado a través de los paquetes afectados debe considerarse comprometido», dijo Socket, advirtiendo que las aplicaciones podrían haber estado expuestas incluso si no instalaron el SDK directamente.
Aunque el desarrollador comprometido detectó la intrusión rápidamente y la versión maliciosa del paquete ha sido eliminada, Socket afirmó que la campaña aún no estaba completamente contenida.
El CEO de Injective, Eric Chen, declaró que las versiones npm afectadas habían sido desaprobadas y que el problema estaba solucionado. Chen añadió que no había fondos en riesgo en la red de Injective, mientras que Socket no informó si el malware resultó en el robo de activos.
En lugar de atacar la criptografía o los contratos inteligentes de una blockchain, la operación se dirigió al software que los desarrolladores utilizan para crear billeteras, exchanges y aplicaciones. La Security Alliance señaló en su informe de amenazas del segundo trimestre que los atacantes han utilizado cada vez más plataformas como GitHub, npm y Google para distribuir malware.
En algunos incidentes, dijo SEAL, se han utilizado máquinas comprometidas para introducir código malicioso en los propios repositorios de GitHub de una empresa, permitiendo que una brecha se convierta en un canal para una mayor distribución. El informe también citó un aumento de paquetes de malware multiplataforma que combinan infostealers, troyanos de acceso remoto y puertas traseras, incluido un aumento de las campañas dirigidas a macOS.
Las versiones npm de Axios fueron objeto de un ataque similar a la cadena de suministro en marzo, mientras que la campaña TrapDoor, descubierta en mayo, se dirigió a desarrolladores que trabajaban en cripto, DeFi, inteligencia artificial y seguridad. GitHub también reveló el acceso no autorizado a repositorios internos el 20 de mayo después de que el dispositivo de un empleado fuera comprometido.
Los compromisos de billeteras fueron el método de ataque cripto más costoso en el primer semestre de 2026, representando 444 millones de dólares robados en 33 casos, según CertiK.
Injective, una capa 1 interoperable para aplicaciones DeFi, ha visto caer su valor total bloqueado un 88 %, desde un máximo de mediados de 2024 de 71 millones de dólares hasta 8,2 millones de dólares, según muestran los datos de DefiLlama. A principios de este año, los miembros de la comunidad aprobaron la IIP-617, acelerando las reducciones en la nueva emisión de INJ mientras se mantenían las quemas de tokens existentes.


