Uma versão oficial do SDK da Injective foi comprometida com código malicioso capaz de roubar chaves privadas e frases mnemônicas — sem qualquer sinal visível de infecção durante a instalação.
Pesquisadores de segurança identificaram um ataque sofisticado de cadeia de suprimentos de software direcionado a desenvolvedores que utilizam o ecossistema Injective. A versão 1.20.21 do pacote npm @injectivelabs/sdk-ts — uma biblioteca oficial amplamente utilizada — foi encontrada contendo código malicioso capaz de exfiltrar silenciosamente chaves privadas e frases mnemônicas de carteiras de criptomoedas.
O vetor de ataque é especialmente preocupante: o pacote comprometido não era uma imitação criada por agentes maliciosos, mas sim uma versão da biblioteca original que passou a incluir código não autorizado. Para o desenvolvedor, tudo parece funcionar normalmente — as chamadas de API retornam os resultados esperados e a instalação não apresenta alertas.
Segundo a SlowMist, em publicação divulgada em seu blog no Medium, o sistema de monitoramento MistEye detectou a atividade maliciosa de forma independente, pouco depois de a empresa de segurança Socket ter sinalizado o comportamento anômalo durante uma varredura no ecossistema npm. A análise estática confirmou que, após certas interfaces de derivação de chave privada serem invocadas, o código malicioso empurra mnemônicos ou chaves privadas em formato de string para uma fila interna, codifica esses dados e os transmite via requisição de rede para um servidor externo — tudo em segundo plano, sem o conhecimento do desenvolvedor.
Como o ataque funciona na prática
O pacote @injectivelabs/sdk-ts é uma dependência central para quem constrói aplicações na rede Injective. Ele é utilizado para consultar dados on-chain, construir e assinar transações e, sobretudo, importar ou gerar chaves de carteiras. Por lidar diretamente com informações sensíveis, é um componente que exige alto nível de confiança — o que o torna um alvo valioso para ataques desse tipo.
Desenvolvedores que utilizam o SDK oficial da Injective para construir aplicações e carteiras no ecossistema da rede.
Versão 1.20.21 do pacote npm @injectivelabs/sdk-ts, distribuída como build oficial — não uma imitação maliciosa.
Frases mnemônicas e chaves privadas em formato de string, capturadas após chamadas de derivação de chave e enviadas a servidor externo.
Identificado de forma independente pela Socket durante varredura no npm e pelo sistema MistEye da SlowMist via monitoramento de ameaças.
Ataque à cadeia de suprimentos: por que é tão perigoso?
Diferente de phishing ou malware convencional, ataques à cadeia de suprimentos comprometem ferramentas em que desenvolvedores já confiam. O código malicioso se dissemina automaticamente para todas as aplicações que dependem do pacote afetado — sem que o usuário final tome qualquer ação suspeita. A simples instalação de uma dependência legítima pode ser suficiente para expor dados críticos.
O que desenvolvedores devem fazer
Qualquer desenvolvedor que tenha instalado ou utilizado a versão 1.20.21 do @injectivelabs/sdk-ts deve considerar que chaves privadas e mnemônicos manipulados por essa versão podem ter sido comprometidos. A recomendação imediata é migrar fundos para novas carteiras geradas em ambientes seguros e auditados, além de atualizar o pacote para uma versão verificada e segura.
O episódio reforça a importância de auditar dependências de terceiros antes de integrá-las a projetos que lidam com ativos digitais. Ferramentas como auditores de pacotes npm, verificação de integridade por hash e ambientes de build isolados são camadas de proteção relevantes nesse contexto.
📌 Nota editorial
A análise técnica completa foi publicada pela SlowMist em seu blog oficial no Medium. A investigação contou com dados do sistema MistEye e referências à pesquisa da empresa Socket, que identificou o comportamento anômalo durante varredura proativa no ecossistema npm.
Para quem busca entender melhor como proteger ativos digitais e garantir a segurança de carteiras, confira o guia completo de criptomoedas da KriptoBR, com informações sobre boas práticas no ecossistema cripto.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Proteja seus ativos com uma hardware wallet
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🛡️ Ataques à cadeia de suprimentos no criptoComo agentes maliciosos comprometem ferramentas legítimas para atingir desenvolvedores e usuários finais.
🔑 Como proteger sua frase mnemônicaPráticas essenciais para guardar seed phrases com segurança e evitar exposição a softwares mal-intencionados.
Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.
