Pacote npm da Injective é hackeado e rouba chaves de carteiras cripto

  • Pacote @injectivelabs/sdk-ts foi adulterado para exfiltrar chaves privadas e seed phrases
  • SDK tinha 50 mil downloads semanais e afetou outros 17 pacotes da Injective Labs
  • Injective diz que problema foi corrigido e nega fundos em risco na rede

A Injective foi alvo de um ataque de cadeia de suprimentos que transformou um de seus pacotes de desenvolvimento em ferramenta de roubo de chaves privadas. A empresa de segurança Socket identificou o incidente nesta quinta-feira e revelou que invasores modificaram o pacote @injectivelabs/sdk-ts, usado para construir aplicações sobre a blockchain, para capturar seed phrases e enviar os dados a servidores sob seu controle.

O impacto potencial é amplo. O pacote registra cerca de 50 mil downloads semanais e serve de dependência para outros 17 pacotes dentro do escopo da Injective Labs no npm (gerenciador de pacotes JavaScript). Ou seja, desenvolvedores que nem instalaram o SDK diretamente podem ter puxado a versão maliciosa como dependência indireta.

Como o código malicioso roubava chaves

Segundo a Socket, invasores comprometeram a versão 1.20.21 do pacote após invadirem uma conta de desenvolvedor no GitHub, com commits suspeitos desde 8 de junho. O código adulterado se enganchava nas funções de derivação de chaves da carteira, sempre que uma aplicação chamava essas rotinas, o malware silenciosamente copiava a chave privada ou a mnemônica gerada.

CONTINUA APÓS A PUBLICIDADE

O malware então codificava os dados e os enviava para um endereço web disfarçado de servidor legítimo da rede Injective, em uma técnica conhecida como falsa telemetria.

“Quaisquer chaves ou mnemônicas passadas por pacotes afetados devem ser tratadas como comprometidas”, alertou a Socket em publicação técnica sobre o caso.

O CEO da Injective, Eric Chen, afirmou que o problema já foi corrigido e que as versões afetadas no npm foram descontinuadas. Segundo ele, nenhum fundo da rede está em risco. A Socket contabilizou 310 downloads da versão maliciosa antes da remoção, mas não confirmou se houve roubo efetivo de recursos.

Injective perde 88% do TVL desde 2024

O ataque atinge a Injective em momento delicado. O TVL (valor total travado) da rede caiu 88% em dois anos, saindo do pico de US$ 71 milhões em meados de 2024 para os atuais US$ 8,2 milhões, segundo o DefiLlama. A rede é uma layer 1 interoperável voltada a aplicações DeFi, mas vem perdendo tração para concorrentes como Solana e camadas do Ethereum.

CONTINUA APÓS A PUBLICIDADE

O tipo de ataque também merece atenção. Diferente de exploits em contratos inteligentes ou brechas criptográficas, o vetor de cadeia de suprimentos ataca a base, ferramentas confiáveis usadas para construir carteiras, exchanges e dApps. Um único desenvolvedor sob controle de invasores pode contaminar milhares de aplicações downstream sem tocar em qualquer smart contract.

Padrão de ataques vira tendência em 2026

O incidente se soma a uma sequência preocupante. Em março, os pacotes Axios no npm sofreram ataque semelhante. Em maio, a campanha de malware TrapDoor foi flagrada mirando desenvolvedores de cripto, DeFi e IA. O próprio GitHub registrou acesso não autorizado a repositórios internos após um funcionário ter o dispositivo comprometido.

A Security Alliance (SEAL), em seu relatório do segundo trimestre, apontou que atacantes vêm usando plataformas legítimas GitHub, npm, Google como canal de distribuição de payloads maliciosos. Em alguns casos, sistemas comprometidos passam a injetar código malicioso diretamente nos repositórios oficiais da vítima, transformando cada invasão em ponte para a próxima.

CONTINUA APÓS A PUBLICIDADE

Segundo dados da CertiK, comprometimentos de carteira lideraram os prejuízos em 2026, com US$ 444 milhões roubados em 33 incidentes no primeiro semestre. No Brasil, o alerta é direto: exchanges locais e projetos que dependem de SDKs abertos precisam auditar dependências antes de cada deploy. O caso Summer.fi, planejado por três meses, mostrou que atacantes estudam pilhas de código durante meses antes de agir. Outro golpe recente em Ethereum drenou quase US$ 1 milhão em USDT com técnica parecida de manipulação de contrato aprovado.

Socket diz que campanha ainda não está contida

A firma de segurança destacou que, apesar da rápida detecção pelo próprio desenvolvedor, invasores ainda mantêm a campanha ativa e fora de total controle. Desenvolvedores brasileiros que usam o SDK da Injective em produtos de DeFi devem revogar chaves geradas com a versão 1.20.21, migrar fundos para carteiras novas e revisar logs de rede em busca de conexões suspeitas ao endpoint falso citado no relatório da Socket.

X
Siga o BitNotícias no X para notícias em tempo real
Compartilhe este artigo
Entusiasta de criptomoedas e tecnologia. Sempre explorando novas tecnologias inovadoras. Nos momentos livres, gosto de jogar e assistir futebol.