InícioEducaçãoHackers tentam roubar chaves de carteiras via pacote npm da Injective

Hackers tentam roubar chaves de carteiras via pacote npm da Injective

-

Pesquisadores de segurança identificaram uma tentativa sofisticada de inserir código malicioso no pacote npm oficial da Injective Protocol, visando o roubo de chaves privadas de carteiras digitais.

Um grupo de hackers tentou comprometer o pacote npm oficial da Injective Protocol, uma das principais blockchains do ecossistema Web3, ao embutir um backdoor capaz de extrair chaves privadas de carteiras cripto. A descoberta foi feita por pesquisadores da empresa de segurança Socket, que sinalizaram o incidente como de alto risco para desenvolvedores e aplicações que operam fluxos de carteiras na rede Injective.

Segundo a Cointelegraph.com News, o ataque se enquadra em uma categoria crescente de ameaças conhecidas como supply chain attacks — onde agentes maliciosos não atacam o usuário final diretamente, mas contaminam ferramentas e bibliotecas usadas por desenvolvedores para construir aplicações. Ao comprometer o pacote na origem, o malware pode se propagar silenciosamente para dezenas ou centenas de projetos que dependem daquela biblioteca.

O pacote em questão faz parte do ecossistema de desenvolvimento da Injective e é utilizado por equipes que constroem dApps, integrações de carteiras e outras ferramentas sobre o protocolo. A presença do código malicioso representaria um risco direto a qualquer aplicação que processasse ou armazenasse chaves privadas de usuários dentro desse fluxo.

Como o ataque foi estruturado

A técnica utilizada pelos atacantes envolve a modificação de um pacote legítimo para incluir instruções ocultas que, ao serem executadas no ambiente do desenvolvedor ou do servidor, passam a interceptar dados sensíveis — no caso, chaves privadas e seeds de carteiras — e os enviam para servidores controlados pelos criminosos.

Esse tipo de ataque é particularmente perigoso porque passa despercebido em revisões de código superficiais. O pacote continua funcionando normalmente em suas funções declaradas, enquanto executa ações maliciosas em segundo plano.

🎯 Alvo principal

Desenvolvedores e aplicações que integram carteiras cripto usando o pacote npm oficial da Injective Protocol.

🔍 Quem descobriu

Pesquisadores da empresa de segurança Socket identificaram o backdoor e emitiram alerta para a comunidade de desenvolvimento Web3.

⚠️ Risco envolvido

Extração de chaves privadas e seeds de carteiras, comprometendo fundos de usuários finais de qualquer app construído com o pacote infectado.

🔗 Tipo de ataque

Supply chain attack — contaminação de dependências de software para atingir múltiplos projetos e usuários de forma encadeada.

O que desenvolvedores devem fazer

Equipes que utilizam pacotes npm relacionados à Injective em seus projetos devem auditar imediatamente suas dependências, verificar versões instaladas e monitorar qualquer atualização recente não solicitada. Ferramentas como npm audit e soluções de análise de dependências, como a própria Socket, podem ajudar a identificar comportamentos suspeitos em bibliotecas de terceiros.

Além disso, o incidente reforça a importância de não armazenar chaves privadas em ambientes de desenvolvimento ou em variáveis de ambiente acessíveis a pacotes externos sem controles rigorosos de isolamento.

Custódia própria ainda é o padrão de segurança mais sólido

Ataques de supply chain mostram que vulnerabilidades podem surgir em qualquer camada do ecossistema de software. Manter chaves privadas em hardware wallets offline — dispositivos que nunca expõem a chave ao ambiente conectado — continua sendo a abordagem mais robusta para proteger ativos digitais contra esse tipo de ameaça.

O episódio envolvendo a Injective não é isolado. Nos últimos anos, o repositório npm foi alvo recorrente de campanhas maliciosas contra o ecossistema cripto, com atacantes publicando pacotes falsos com nomes similares aos legítimos (typosquatting) ou, como neste caso, conseguindo acesso para modificar pacotes autênticos diretamente.

Leia tambem: como blindar suas criptomoedas contra roubos.

📰 Nota editorial

As informações sobre o ataque ao pacote npm da Injective foram divulgadas pela Cointelegraph.com News com base em relatório técnico da empresa de segurança Socket. O KriptoHoje recomenda que desenvolvedores acompanhem os canais oficiais da Injective Protocol para atualizações sobre o status do pacote afetado.

Importante: não damos recomendação de investimento

Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.

Suas chaves fora do alcance de hackers

A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.

Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.

Conhecer Hardware Wallets

Leituras relacionadas

Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.

ULTIMAS NOTÍCIAS

XRP: Dados On-Chain Emitem Alerta com Vendedores no Controle

Indicadores on-chain do XRP mostram recuo na participação de investidores e domínio dos vendedores, limitando sinais de recuperação no curto prazo.

DeFi supera Bitcoin e pode estar em nova fase

A gestora Bitwise observa que tokens DeFi têm sustentado desempenho superior ao Bitcoin mesmo em momentos de pressão, comportamento considerado incomum para o setor.

Strategy quebra regra histórica do Bitcoin: o que muda?

A Strategy quebrou sua principal regra sobre Bitcoin. Entenda o que mudou na política de acumulação da empresa e o impacto para as ações MSTR.

Goldman Sachs restringe apostas em Kalshi e Polymarket

O Goldman Sachs orientou seus funcionários a restringir o uso de plataformas de mercados de previsão como Kalshi e Polymarket, alegando riscos de compliance.

SIGA A GENTE

0FãsCurtir
0SeguidoresSeguir
0SeguidoresSeguir
0InscritosInscrever

MAIS POPULAR