Injective SDK no npm é infectado por malware que rouba carteiras de criptomoedas
10 de Julho de 2026

Hackers comprometeram o repositório GitHub do projeto Injective Labs SDK e o usaram para publicar um pacote malicioso no Node Package Manager (npm), capaz de roubar chaves privadas de carteiras de criptomoedas e frases semente mnemônicas.

As empresas de segurança de aplicações Socket, Ox Security e StepSecurity detectaram o ataque à supply chain por meio da versão 1.20.21 do pacote npm @injectivelabs/sdk-ts.

O Injective SDK é um kit de desenvolvimento de software em TypeScript e JavaScript para criar aplicações na blockchain da Injective, uma blockchain de camada 1 voltada para finanças descentralizadas (DeFi), ativos tokenizados e exchanges descentralizadas.

O pacote soma 50.000 downloads semanais no npm e é usado por desenvolvedores que criam carteiras de criptomoedas, bots de negociação, exchanges descentralizadas, aplicações DeFi e ferramentas de pagamento.

Segundo os pesquisadores, o invasor comprometeu uma conta do GitHub pertencente a um colaborador legítimo do projeto e fez os primeiros commits suspeitos em 8 de junho, publicando pouco depois a versão maliciosa do pacote.

O atacante também publicou a versão 1.20.21 de outros 17 pacotes associados ao projeto, vinculando todos eles à versão comprometida do SDK.

O dono legítimo da conta detectou a invasão em poucos minutos, reverteu as alterações e publicou uma versão limpa, a 1.20.23.

Ainda assim, sistemas de desenvolvedores que baixaram os pacotes maliciosos durante uma atualização ou que os utilizaram provavelmente foram comprometidos.

A Socket informa que a versão maliciosa do pacote foi baixada 310 vezes antes de ser classificada como obsoleta, mas não removida, e que os artefatos maliciosos do GitHub Release continuam disponíveis.

Os pesquisadores também observam que o pacote tem 87 dependências diretas no npm e, muito provavelmente, várias outras dependências transitivas adicionais.

Um relatório da Ox Security alerta que os 87 pacotes dependentes somavam mais de 112.000 downloads no total.

O malware é ativado quando os desenvolvedores usam funções do SDK que geram ou importam chaves de carteira, e não no momento da instalação.

Quando essas funções são chamadas, o malware captura a frase semente mnemônica completa e a chave privada, e codifica os dados em base64.

Todas as informações são exfiltradas por uma requisição HTTP POST para um endpoint público da infraestrutura da Injective Labs, com o objetivo de fazer o tráfego parecer legítimo.

A StepSecurity relata que o malware não transmitia imediatamente os segredos roubados.

Em vez disso, ele enfileirava várias chaves e mnemônicos por dois segundos, agrupava os dados no cabeçalho da requisição HTTP e então os enviava.

Com isso, os atacantes podem usar a frase mnemônica ou a chave privada para transferir as carteiras da vítima para seus próprios dispositivos e acessar, usar ou mover os ativos digitais.

Desenvolvedores que suspeitem de comprometimento devem transferir suas criptomoedas para novas carteiras e rotacionar todos os segredos em seu ambiente.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...