InícioEducaçãoSDK da Injective é comprometido e chaves privadas roubadas

SDK da Injective é comprometido e chaves privadas roubadas

-

Uma versão oficial do SDK da Injective foi comprometida com código malicioso capaz de roubar chaves privadas e frases mnemônicas — sem qualquer sinal visível de infecção durante a instalação.

Pesquisadores de segurança identificaram um ataque sofisticado de cadeia de suprimentos de software direcionado a desenvolvedores que utilizam o ecossistema Injective. A versão 1.20.21 do pacote npm @injectivelabs/sdk-ts — uma biblioteca oficial amplamente utilizada — foi encontrada contendo código malicioso capaz de exfiltrar silenciosamente chaves privadas e frases mnemônicas de carteiras de criptomoedas.

O vetor de ataque é especialmente preocupante: o pacote comprometido não era uma imitação criada por agentes maliciosos, mas sim uma versão da biblioteca original que passou a incluir código não autorizado. Para o desenvolvedor, tudo parece funcionar normalmente — as chamadas de API retornam os resultados esperados e a instalação não apresenta alertas.

Segundo a SlowMist, em publicação divulgada em seu blog no Medium, o sistema de monitoramento MistEye detectou a atividade maliciosa de forma independente, pouco depois de a empresa de segurança Socket ter sinalizado o comportamento anômalo durante uma varredura no ecossistema npm. A análise estática confirmou que, após certas interfaces de derivação de chave privada serem invocadas, o código malicioso empurra mnemônicos ou chaves privadas em formato de string para uma fila interna, codifica esses dados e os transmite via requisição de rede para um servidor externo — tudo em segundo plano, sem o conhecimento do desenvolvedor.

Como o ataque funciona na prática

O pacote @injectivelabs/sdk-ts é uma dependência central para quem constrói aplicações na rede Injective. Ele é utilizado para consultar dados on-chain, construir e assinar transações e, sobretudo, importar ou gerar chaves de carteiras. Por lidar diretamente com informações sensíveis, é um componente que exige alto nível de confiança — o que o torna um alvo valioso para ataques desse tipo.

🎯 Alvo do ataque

Desenvolvedores que utilizam o SDK oficial da Injective para construir aplicações e carteiras no ecossistema da rede.

📦 Vetor de infecção

Versão 1.20.21 do pacote npm @injectivelabs/sdk-ts, distribuída como build oficial — não uma imitação maliciosa.

🔑 Dados exfiltrados

Frases mnemônicas e chaves privadas em formato de string, capturadas após chamadas de derivação de chave e enviadas a servidor externo.

🕵️ Detecção

Identificado de forma independente pela Socket durante varredura no npm e pelo sistema MistEye da SlowMist via monitoramento de ameaças.

Ataque à cadeia de suprimentos: por que é tão perigoso?

Diferente de phishing ou malware convencional, ataques à cadeia de suprimentos comprometem ferramentas em que desenvolvedores já confiam. O código malicioso se dissemina automaticamente para todas as aplicações que dependem do pacote afetado — sem que o usuário final tome qualquer ação suspeita. A simples instalação de uma dependência legítima pode ser suficiente para expor dados críticos.

O que desenvolvedores devem fazer

Qualquer desenvolvedor que tenha instalado ou utilizado a versão 1.20.21 do @injectivelabs/sdk-ts deve considerar que chaves privadas e mnemônicos manipulados por essa versão podem ter sido comprometidos. A recomendação imediata é migrar fundos para novas carteiras geradas em ambientes seguros e auditados, além de atualizar o pacote para uma versão verificada e segura.

O episódio reforça a importância de auditar dependências de terceiros antes de integrá-las a projetos que lidam com ativos digitais. Ferramentas como auditores de pacotes npm, verificação de integridade por hash e ambientes de build isolados são camadas de proteção relevantes nesse contexto.

📌 Nota editorial

A análise técnica completa foi publicada pela SlowMist em seu blog oficial no Medium. A investigação contou com dados do sistema MistEye e referências à pesquisa da empresa Socket, que identificou o comportamento anômalo durante varredura proativa no ecossistema npm.

Para quem busca entender melhor como proteger ativos digitais e garantir a segurança de carteiras, confira o guia completo de criptomoedas da KriptoBR, com informações sobre boas práticas no ecossistema cripto.

Importante: não damos recomendação de investimento

Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.

Proteja seus ativos com uma hardware wallet

A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.

Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.

Conhecer a KriptoBR

Leituras relacionadas

Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.

ULTIMAS NOTÍCIAS

Aave V4 chega à Avalanche e mira ativos tokenizados

Aave V4 estreia na Avalanche em sua primeira expansão além do Ethereum, criando base para mercados de empréstimos com ativos tokenizados do mundo real.

Ostium suspende negociações após exploit de oráculo drenar US$ 18 mi

O protocolo DeFi Ostium suspendeu operações após exploit que usou relatórios de oráculo com datas futuras para simular lucros falsos e drenar até US$ 18 milhões do vault.

40 Bancos dos EUA Vão Testar Tokenização de Ativos

JP Morgan, Goldman Sachs e outras grandes instituições financeiras dos EUA vão participar de um piloto de tokenização de ativos em blockchain junto à DTCC.

Aave V4, RWAs e o Futuro do DeFi com Stani Kulechov

O fundador do Aave Labs detalhou os planos para o Aave V4 na Avalanche e por que acredita que os ativos do mundo real (RWAs) vão dobrar até o final de 2025.

SIGA A GENTE

0FãsCurtir
0SeguidoresSeguir
0SeguidoresSeguir
0InscritosInscrever

MAIS POPULAR