Una actualización maliciosa de un paquete de desarrollador de Injective ha expuesto claves privadas y frases semilla después de haber sido descargada más de 300 veces, según la firma de seguridad Socket. La versión comprometida, 1.20.21 del paquete @injectivelabs/sdk-ts npm, fue alterada después de que la cuenta de GitHub de un desarrollador fue comprometida, con commits sospechosos que comenzaron el 8 de junio. El código malicioso interceptó las funciones de generación de claves de billetera, grabando claves privadas y frases de recuperación, y luego envió los datos a través de una telemetría falsa a una dirección web que se asemeja a un servidor de Injective.
Detalles del paquete malicioso
La versión maliciosa fue anclada en 17 paquetes más bajo el alcance de npm de Injective Labs, lo que podría exponer aplicaciones incluso si no instalaron el SDK directamente. Socket advirtió que cualquier clave o mnemotécnica que se haya pasado a través de paquetes afectados debe ser