Los ataques a la cadena de suministro de software se han vuelto más comunes, ya que los atacantes se dirigen cada vez más a herramientas de desarrollo confiables en lugar de a los usuarios finales.
En el incidente más reciente, los atacantes comprometieron un paquete de software confiable de Injective Labs para robar las credenciales de las billeteras de los desarrolladores.


¿Cómo se desarrolló el ataque al SDK de Injective?
El atacante cargó una versión maliciosa del SDK TypeScript, @injectivelabs/sdk-ts v1.20.21, a npm. El paquete estaba diseñado para crear aplicaciones de Injective, generar billeteras y firmar transacciones.
Luego, el atacante obtuvo acceso a la cuenta de GitHub de un colaborador legítimo de Injective Labs y distribuyó confirmaciones (commits) maliciosas. Una rama de prueba se llamaba “test-backdoor-check”.
Bajo la apariencia de telemetría, el atacante publicó el paquete comprometido en npm.
En lugar de recopilar datos de uso, el malware extraía claves privadas y frases semilla mnemotécnicas. Esto les dio a los atacantes todo lo necesario para recrear y apoderarse de las billeteras de criptomonedas de las víctimas.
Además, el compromiso se propagó a través de dependencias transitivas en otros 17 paquetes adicionales de Injective que dependían del SDK.
La vulnerabilidad que condujo a la brecha
El código malicioso permaneció inactivo durante la instalación, lo que le ayudó a evadir la detección.
En su lugar, solo se ejecutaba cuando los desarrolladores utilizaban las funciones de generación de billeteras fromMnemonic o fromHex.
Ocurrieron alrededor de 50,000 descargas del paquete comprometido cada semana. Al menos otros 87 paquetes también dependían directamente de él.
El atacante también publicó 17 paquetes adicionales de Injective vinculados a la versión comprometida del SDK, expandiendo así el alcance del ataque.


¿Qué más?
Poco después, se puso a disposición una versión limpia, la v1.20.23. Sin embargo, la versión comprometida seguía disponible en npm como un paquete obsoleto, y sus artefactos de lanzamiento seguían disponibles en GitHub.
Por lo tanto, para evitar más incidentes de este tipo, los usuarios deben rotar todas las credenciales afectadas, crear nuevas billeteras y mover su dinero.
Esto coincidió con la pérdida de 20 millones de dólares por parte de BonkDAO debido a una “propuesta de gobernanza maliciosa”, convirtiéndolos en la víctima más reciente de un hackeo de criptomonedas.
Resumen final
- El malhechor obtuvo acceso a la cuenta de GitHub de un colaborador legítimo de Injective Labs y la utilizó para distribuir confirmaciones (commits) maliciosas.
- Los desarrolladores quedaron vulnerables por el ataque debido a las dependencias transitivas en otros 17 paquetes inyectivos adicionales.





