Versão 1.20.21 do pacote npm @injectivelabs/sdk-ts continha código malicioso que exfiltrava chaves privadas e frases mnemônicas de carteiras cripto em segundo plano.
Código malicioso foi inserido no pacote npm da Injective Protocol, ameaçando desenvolvedores e aplicações que gerenciam carteiras cripto no ecossistema.
A plataforma de mercados de previsão Polymarket anunciou que vai ressarcir usuários prejudicados após um ataque de supply chain desviar cerca de US$ 3 milhões via frontend comprometido.
Campanha TrapDoor comprometeu npm, PyPI e Crates.io com 384 versões maliciosas visando desenvolvedores de criptomoedas, DeFi e Solana para roubar chaves e credenciais.
Pesquisadores identificaram mais de 34 pacotes maliciosos em repositórios como npm e PyPI, projetados para comprometer desenvolvedores DeFi antes mesmo do deploy.
Pesquisadores identificaram campanha coordenada batizada de TrapDoor que injeta código malicioso em ferramentas de desenvolvimento cripto para roubar ativos digitais.