
Una actualización maliciosa de un paquete para desarrolladores de Injective ha expuesto claves privadas y frases semilla tras ser descargada más de 300 veces, según ha descubierto Socket.
Según la firma de seguridad Socket, la versión 1.20.21 del paquete npm @injectivelabs/sdk-ts, que cuenta con aproximadamente 50.000 descargas semanales, fue alterada después de que la cuenta de GitHub de un desarrollador fuera comprometida. Los commits sospechosos comenzaron el 8 de junio, y la versión maliciosa fue posteriormente fijada en otros 17 paquetes bajo el ámbito npm de Injective Labs.
La firma de seguridad afirmó que el código interceptó las funciones de generación de claves de billetera, registró claves privadas y frases de recuperación, luego codificó los datos y los envió a través de telemetría falsa a una dirección web diseñada para parecerse a un servidor de Injective.
“Cualquier clave o mnemónico que haya pasado por los paquetes afectados debe considerarse comprometido”, dijo Socket, advirtiendo que las aplicaciones podrían haber estado expuestas incluso si no instalaron el SDK directamente.
Aunque el desarrollador comprometido detectó la intrusión rápidamente y la versión maliciosa del paquete ha sido eliminada, Socket afirmó que la campaña aún no estaba completamente contenida.
El CEO de Injective, Eric Chen, declaró que las versiones npm afectadas habían sido desaprobadas y que el problema estaba solucionado. Chen añadió que ningún fondo en la red de Injective estaba en riesgo, mientras que Socket no informó si el malware resultó en el robo de activos.
En lugar de atacar la criptografía o los contratos inteligentes de una blockchain, la operación se dirigió al software que los desarrolladores utilizan para construir billeteras, exchanges y aplicaciones. La Security Alliance informó en su informe de amenazas del segundo trimestre que los atacantes han utilizado cada vez más plataformas como GitHub, npm y Google para distribuir malware.
En algunos incidentes, SEAL dijo que máquinas comprometidas han sido utilizadas para insertar código malicioso en los propios repositorios de GitHub de una empresa, permitiendo que una brecha se convierta en un canal para una mayor distribución. El informe también citó más paquetes de malware multiplataforma que combinan ladrones de información (infostealers), troyanos de acceso remoto y puertas traseras (backdoors), incluyendo un aumento en las campañas dirigidas a macOS.
Las versiones npm de Axios fueron afectadas por un ataque similar a la cadena de suministro en marzo, mientras que la campaña TrapDoor, descubierta en mayo, se dirigió a desarrolladores que trabajan en cripto, DeFi, inteligencia artificial y seguridad. GitHub también reveló un acceso no autorizado a repositorios internos el 20 de mayo después de que el dispositivo de un empleado fuera comprometido.
Los compromisos de billeteras fueron el método de ataque cripto más costoso en la primera mitad de 2026, representando $444 millones robados en 33 casos, según CertiK.
Injective, una capa 1 interoperable para aplicaciones DeFi, ha visto su valor total bloqueado (TVL) caer un 88% desde un pico de $71 millones a mediados de 2024 a $8.2 millones, según datos de DefiLlama. A principios de este año, los miembros de la comunidad aprobaron la IIP-617, acelerando las reducciones en la nueva emisión de INJ mientras se mantienen las quemas de tokens existentes.