Pesquisadores de segurança identificaram uma tentativa sofisticada de inserir código malicioso no pacote npm oficial da Injective Protocol, visando o roubo de chaves privadas de carteiras digitais.
Um grupo de hackers tentou comprometer o pacote npm oficial da Injective Protocol, uma das principais blockchains do ecossistema Web3, ao embutir um backdoor capaz de extrair chaves privadas de carteiras cripto. A descoberta foi feita por pesquisadores da empresa de segurança Socket, que sinalizaram o incidente como de alto risco para desenvolvedores e aplicações que operam fluxos de carteiras na rede Injective.
Segundo a Cointelegraph.com News, o ataque se enquadra em uma categoria crescente de ameaças conhecidas como supply chain attacks — onde agentes maliciosos não atacam o usuário final diretamente, mas contaminam ferramentas e bibliotecas usadas por desenvolvedores para construir aplicações. Ao comprometer o pacote na origem, o malware pode se propagar silenciosamente para dezenas ou centenas de projetos que dependem daquela biblioteca.
O pacote em questão faz parte do ecossistema de desenvolvimento da Injective e é utilizado por equipes que constroem dApps, integrações de carteiras e outras ferramentas sobre o protocolo. A presença do código malicioso representaria um risco direto a qualquer aplicação que processasse ou armazenasse chaves privadas de usuários dentro desse fluxo.
Como o ataque foi estruturado
A técnica utilizada pelos atacantes envolve a modificação de um pacote legítimo para incluir instruções ocultas que, ao serem executadas no ambiente do desenvolvedor ou do servidor, passam a interceptar dados sensíveis — no caso, chaves privadas e seeds de carteiras — e os enviam para servidores controlados pelos criminosos.
Esse tipo de ataque é particularmente perigoso porque passa despercebido em revisões de código superficiais. O pacote continua funcionando normalmente em suas funções declaradas, enquanto executa ações maliciosas em segundo plano.
Desenvolvedores e aplicações que integram carteiras cripto usando o pacote npm oficial da Injective Protocol.
Pesquisadores da empresa de segurança Socket identificaram o backdoor e emitiram alerta para a comunidade de desenvolvimento Web3.
Extração de chaves privadas e seeds de carteiras, comprometendo fundos de usuários finais de qualquer app construído com o pacote infectado.
Supply chain attack — contaminação de dependências de software para atingir múltiplos projetos e usuários de forma encadeada.
O que desenvolvedores devem fazer
Equipes que utilizam pacotes npm relacionados à Injective em seus projetos devem auditar imediatamente suas dependências, verificar versões instaladas e monitorar qualquer atualização recente não solicitada. Ferramentas como npm audit e soluções de análise de dependências, como a própria Socket, podem ajudar a identificar comportamentos suspeitos em bibliotecas de terceiros.
Além disso, o incidente reforça a importância de não armazenar chaves privadas em ambientes de desenvolvimento ou em variáveis de ambiente acessíveis a pacotes externos sem controles rigorosos de isolamento.
Custódia própria ainda é o padrão de segurança mais sólido
Ataques de supply chain mostram que vulnerabilidades podem surgir em qualquer camada do ecossistema de software. Manter chaves privadas em hardware wallets offline — dispositivos que nunca expõem a chave ao ambiente conectado — continua sendo a abordagem mais robusta para proteger ativos digitais contra esse tipo de ameaça.
O episódio envolvendo a Injective não é isolado. Nos últimos anos, o repositório npm foi alvo recorrente de campanhas maliciosas contra o ecossistema cripto, com atacantes publicando pacotes falsos com nomes similares aos legítimos (typosquatting) ou, como neste caso, conseguindo acesso para modificar pacotes autênticos diretamente.
Leia tambem: como blindar suas criptomoedas contra roubos.
📰 Nota editorial
As informações sobre o ataque ao pacote npm da Injective foram divulgadas pela Cointelegraph.com News com base em relatório técnico da empresa de segurança Socket. O KriptoHoje recomenda que desenvolvedores acompanhem os canais oficiais da Injective Protocol para atualizações sobre o status do pacote afetado.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Suas chaves fora do alcance de hackers
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🛡️ Supply chain attacks em cripto: como se protegerAtaques à cadeia de suprimentos de software são uma das ameaças mais silenciosas do ecossistema Web3.
🔑 Chave privada: o que é e por que nunca deve ser compartilhadaA chave privada é a senha mestra das suas criptomoedas. Veja como armazená-la com segurança.
Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.
