Cargando precios...

Ataque de cadena de suministro a paquete npm de Injective busca robar claves privadas de wallets cripto

Arturo Trenard Arturo Trenard · · 5 min de lectura

Ataque de cadena de suministro a paquete npm de Injective busca robar claves privadas de wallets cripto

Investigadores de seguridad detectaron una versión maliciosa del paquete @injectivelabs/sdk-ts que fue descargada 310 veces antes de ser eliminada, exponiendo datos sensibles de desarrolladores.

Detalles del ataque

Versión comprometida y alcance

La firma de seguridad Socket descubrió el jueves que hackers comprometieron la versión 1.20.21 del paquete npm @injectivelabs/sdk-ts, una herramienta utilizada por desarrolladores para construir aplicaciones en la blockchain Injective que acumula aproximadamente 50.000 descargas semanales en su estado legítimo.

Según el informe de Socket, el atacante accedió al paquete mediante una cuenta de desarrollador comprometida en GitHub. Los investigadores detectaron commits sospechosos desde el pasado 8 de junio. El código malicioso no solo afectó al paquete principal, sino que también fue inyectado en 17 paquetes adicionales dentro del ámbito npm de Injective Labs.

«Este ataque expone a usuarios que no instalaron el SDK directamente», advirtió Socket en su reporte, señalando que cualquier proyecto que dependa del paquete infectado podría haber sido afectado.

Mecanismo del malware

El código malicioso implementado por los atacantes interceptaba funciones de derivación de claves durante el proceso de generación de wallets. De esta manera, lograba grabar claves privadas y frases semilla (mnemónicos) sin que el desarrollador notara la intrusión.

Para la exfiltración de datos, el malware utilizaba un mecanismo de telemetría falsa. Los datos robados eran codificados y enviados a una dirección web que simulaba ser un servidor legítimo de Injective, dificultando su detección.

Socket enfatizó la gravedad del incidente: «Cualquier clave o mnemónico procesado durante el período de compromiso debe tratarse como comprometido».

Respuesta y estado actual

Medidas tomadas

Eric Chen, CEO de Injective, confirmó que el equipo de desarrollo detectó el compromiso rápidamente y que las versiones afectadas ya han sido deprecadas en el registro npm. «Ya está arreglado», declaró Chen, quien también aseguró que no hay fondos en la red en riesgo.

No obstante, la compañía no especificó si se produjo el robo efectivo de fondos de alguna wallet afectada.

Estadísticas de descarga

El paquete malicioso registró 310 descargas antes de su eliminación, una cifra significativamente menor en comparación con las 50.000 descargas semanales que acumula la versión legítima. Sin embargo, Socket advirtió que «la campaña no está completamente contenida», sugiriendo que podrían existir vectores adicionales de ataque aún activos.

Contexto: ataques de cadena de suministro

Definición y método

Los ataques de cadena de suministro representan un nuevo vector de amenaza en el ecosistema blockchain. A diferencia de los ataques tradicionales que buscan vulnerabilidades en la criptografía o los contratos inteligentes, estos comprometen las herramientas de desarrollo consideradas confiables.

El método utilizado por los atacantes consiste en aprovechar plataformas legítimas como GitHub, npm y Google para distribuir payloads maliciosos. Según un reporte de Security Alliance (SEAL) correspondiente al segundo trimestre de 2026, «los sistemas comprometidos se utilizan para empujar código malicioso a repositorios de la empresa», facilitando la propagación del malware.

Casos similares recientes

El incidente en Injective se suma a una serie de ataques similares ocurridos en los últimos meses. En marzo, atacantes comprometieron paquetes npm de Axios, una popular librería de solicitudes HTTP. En mayo, se detectó la campaña TrapDoor, que afectó a proyectos de criptomonedas, DeFi, inteligencia artificial y desarrollo de software. Ese mismo mes, GitHub sufrió un compromiso el 20 de mayo que permitió acceso no autorizado a repositorios internos.

Los expertos también han observado un aumento en el malware multiplataforma, incluyendo sistemas macOS, lo que amplía el alcance potencial de estos ataques.

Impacto en el sector

Costo de compromisos de wallets en 2026

El ataque a Injective se produce en un contexto donde los compromisos de wallets representan la amenaza más costosa para el sector cripto. Según un reporte publicado el lunes por la firma de seguridad CertiK, en el primer semestre de 2026 se robaron 444 millones de dólares en 33 incidentes relacionados con compromisos de wallets.

Esta cifra consolida a los ataques a wallets como el vector de ataque más costoso del año, superando a otras modalidades como exploits de contratos inteligentes o ataques a puentes.

Situación de Injective

Injective es una blockchain de capa 1 interoperable diseñada específicamente para aplicaciones DeFi. Sin embargo, los datos de DefiLlama muestran que el Valor Total Bloqueado (TVL) en la red ha experimentado una caída significativa. Desde un pico de 71 millones de dólares alcanzado a mediados de 2024, el TVL se ha reducido en un 88%, situándose actualmente en 8,2 millones de dólares. Esta disminución refleja un uso reducido de la plataforma en los últimos dos años.

Recomendaciones y conclusiones

Para desarrolladores afectados

Socket recomendó que todos los desarrolladores que hayan utilizado el paquete comprometido traten como potencialmente comprometidas todas las claves privadas y mnemónicos procesados durante el período de infección. Sin embargo, la firma no especificó pasos de mitigación adicionales más allá de la rotación inmediata de estas credenciales.

Perspectiva general

El incidente en Injective evidencia una tendencia creciente hacia los ataques a cadenas de suministro en el ecosistema blockchain. Los atacantes están utilizando cada vez más plataformas legítimas como vectores de distribución de malware, lo que dificulta su detección tanto por parte de los desarrolladores como de las herramientas de seguridad automatizadas.

La comunidad de desarrolladores DeFi se enfrenta al desafío de reforzar la seguridad en las herramientas de desarrollo, particularmente en los gestores de paquetes y repositorios de código que constituyen la infraestructura básica del ecosistema.

Fuentes consultadas: Socket (investigación principal), Eric Chen (CEO de Injective), Security Alliance (SEAL) – reporte Q2, CertiK – reporte semestral, DefiLlama – datos TVL.

Click to rate this post!
[Total: 0 Average: 0]