Paquete de software Injective afectado por ataque malicioso en la cadena de suministro – Detalles

ambcryptoPublicado a 2026-07-10Actualizado a 2026-07-10

Resumen

El paquete de software de Injective Labs fue comprometido en un ataque a la cadena de suministro, donde un actor malicioso subió una versión infectada (@injectivelabs/sdk-ts v1.20.21) al gestor de paquetes npm. El atacante logró acceso a la cuenta de GitHub de un colaborador legítimo para distribuir commits maliciosos. El código malicioso, disfrazado como telemetría, no se activaba durante la instalación, sino al usar funciones específicas de generación de carteras (fromMnemonic o fromHex), robando así claves privadas y frases semilla. Esto permitía recrear y drenar las carteras de criptomonedas de las víctimas. El paquete comprometido tenía unas 50.000 descargas semanales y afectó a 87 paquetes que dependían directamente de él, además de extenderse a través de dependencias transitivas en otros 17 paquetes de Injective. Aunque luego se publicó una versión limpia (v1.20.23), la versión maliciosa permaneció disponible. Se recomienda a los usuarios afectados rotar todas sus credenciales, crear nuevas carteras y transferir sus fondos. Este incidente coincide con la pérdida de $20 millones por BonkDAO debido a una propuesta de gobernanza maliciosa.

Los ataques a la cadena de suministro de software se han vuelto más comunes, ya que los atacantes se dirigen cada vez más a herramientas de desarrollo confiables en lugar de a los usuarios finales.

En el incidente más reciente, los atacantes comprometieron un paquete de software confiable de Injective Labs para robar las credenciales de las billeteras de los desarrolladores.

Fuente: Socket

¿Cómo se desarrolló el ataque al SDK de Injective?

El atacante cargó una versión maliciosa del SDK TypeScript, @injectivelabs/sdk-ts v1.20.21, a npm. El paquete estaba diseñado para crear aplicaciones de Injective, generar billeteras y firmar transacciones.

Luego, el atacante obtuvo acceso a la cuenta de GitHub de un colaborador legítimo de Injective Labs y distribuyó confirmaciones (commits) maliciosas. Una rama de prueba se llamaba “test-backdoor-check”.

Bajo la apariencia de telemetría, el atacante publicó el paquete comprometido en npm.

En lugar de recopilar datos de uso, el malware extraía claves privadas y frases semilla mnemotécnicas. Esto les dio a los atacantes todo lo necesario para recrear y apoderarse de las billeteras de criptomonedas de las víctimas.

Además, el compromiso se propagó a través de dependencias transitivas en otros 17 paquetes adicionales de Injective que dependían del SDK.

La vulnerabilidad que condujo a la brecha

El código malicioso permaneció inactivo durante la instalación, lo que le ayudó a evadir la detección.

En su lugar, solo se ejecutaba cuando los desarrolladores utilizaban las funciones de generación de billeteras fromMnemonic o fromHex.

Ocurrieron alrededor de 50,000 descargas del paquete comprometido cada semana. Al menos otros 87 paquetes también dependían directamente de él.

El atacante también publicó 17 paquetes adicionales de Injective vinculados a la versión comprometida del SDK, expandiendo así el alcance del ataque.

Fuente: Socket

¿Qué más?

Poco después, se puso a disposición una versión limpia, la v1.20.23. Sin embargo, la versión comprometida seguía disponible en npm como un paquete obsoleto, y sus artefactos de lanzamiento seguían disponibles en GitHub.

Por lo tanto, para evitar más incidentes de este tipo, los usuarios deben rotar todas las credenciales afectadas, crear nuevas billeteras y mover su dinero.

Esto coincidió con la pérdida de 20 millones de dólares por parte de BonkDAO debido a una “propuesta de gobernanza maliciosa”, convirtiéndolos en la víctima más reciente de un hackeo de criptomonedas.


Resumen final

  • El malhechor obtuvo acceso a la cuenta de GitHub de un colaborador legítimo de Injective Labs y la utilizó para distribuir confirmaciones (commits) maliciosas.
  • Los desarrolladores quedaron vulnerables por el ataque debido a las dependencias transitivas en otros 17 paquetes inyectivos adicionales.

Preguntas relacionadas

Q¿Qué tipo de ataque afectó al paquete de software de Injective Labs?

AEl ataque fue un ataque de cadena de suministro de software, donde los atacantes comprometieron una versión del SDK de TypeScript de Injective Labs para robar las credenciales de las carteras de los desarrolladores.

Q¿Cómo lograron los atacantes distribuir el paquete malicioso?

ALos atacantes obtuvieron acceso a la cuenta de GitHub de un colaborador legítimo de Injective Labs y la utilizaron para distribuir commits maliciosos, y luego publicaron el paquete comprometido en npm bajo el pretexto de telemetría.

Q¿Cómo funcionaba el código malicioso para evadir la detección y robar información?

AEl código malicioso permanecía inactivo durante la instalación. Solo se ejecutaba cuando los desarrolladores utilizaban las funciones de generación de carteras fromMnemonic o fromHex, momento en el que extraía las claves privadas y frases semilla.

Q¿Cuál fue el alcance del ataque en términos de paquetes y descargas afectadas?

AEl paquete comprometido tenía alrededor de 50,000 descargas semanales. Además, la vulnerabilidad se extendió a través de dependencias transitivas en 17 paquetes adicionales de Injective, y al menos 87 otros paquetes dependían directamente de él.

Q¿Qué deben hacer los usuarios para protegerse tras este incidente?

ALos usuarios deben rotar todas las credenciales impactadas, crear nuevas carteras y transferir sus fondos a ellas para evitar pérdidas.

Lecturas Relacionadas

¿Dónde está el anclaje de valoración de MegaETH tras la salida de Aave y la fuerte volatilidad de su TVL?

Según datos de DefiLlama, MegaETH experimentó una fuerte volatilidad en su TVL entre el 9 y el 10 de julio, cayendo brevemente a poco más de 30 millones de dólares, lo que supone una caída del 60% en 24 horas y un descenso del 70% respecto al pico de mayo. El principal protocolo en cadena, Aave V3, retiró alrededor del 80% de su liquidez en un día. El precio del token MEGA cayó a unos 0,048 dólares, con una capitalización de mercado de unos 54 millones de dólares y un FDV de aproximadamente 4.800 millones. MegaETH, una vez una de las nuevas blockchains más esperadas, contó con una fuerte afluencia de capital inicial respaldado por importantes fondos de capital de riesgo y entusiasmo de KOLs. En su punto máximo, su FDV alcanzó los 20.000 millones de dólares y su TVL de DeFi llegó a 245 millones, posicionándose entre las 11 principales blockchains. Sin embargo, su TVL dependía en gran medida de Aave y de estrategias de apalancamiento con stablecoins como USDe. Cuando el rendimiento de USDe cayó por debajo del coste de préstamo en Aave, estas posiciones se desmontaron, provocando una salida masiva de capital. Actualmente, el valor de MegaETH parece desalineado con su actividad real. Con un FDV de 4.700 millones de dólares, los protocolos de la cadena generan menos de 90.000 dólares de ingresos reales en 30 días y tienen solo 2.619 direcciones activas diarias. Además, gran parte de los ingresos provienen de una aplicación de juego de cartas, Monster, y no de protocolos DeFi. Su stablecoin nativa, USDM, también está perdiendo valor. La comunidad critica la falta de comunicación del equipo y la migración de proyectos a otras cadenas. El caso de MegaETH refleja una tendencia más amplia en la que el mercado está dejando de premiar los altos TVL impulsados por incentivos o arbitraje, exigiendo en su lugar fundamentos sólidos, ingresos reales y un ecosistema saludable para respaldar la valoración. A menos que el equipo pueda convertir el capital recaudado en adopción y utilidad real, es difícil ver un pilar sólido para su valoración más allá de posibles rebotes temporales por sentimiento del mercado.

链捕手Hace 1 hora(s)

¿Dónde está el anclaje de valoración de MegaETH tras la salida de Aave y la fuerte volatilidad de su TVL?

链捕手Hace 1 hora(s)

Informe en profundidad de Goldman Sachs: ¿Quiénes serán los ganadores a largo plazo en la industria china de modelos de IA a gran escala?

Informe de Goldman Sachs sobre los posibles ganadores a largo plazo en la industria china de modelos de IA. Los modelos de inteligencia artificial de China se encuentran en un punto de inflexión histórico. Según Goldman Sachs, los modelos de código abierto han alcanzado un rendimiento cercano al de los modelos propietarios globales líderes. Esta evolución ha pasado del enfoque en la eficiencia de costos de DeepSeek el año pasado al momento de la inteligencia del modelo de GLM de Zhipu este año. La adopción por parte de empresas chinas y pymes globales se está expandiendo rápidamente, creando un efecto de vuelo de datos que impulsará nuevas iteraciones. La clave del éxito radica en la innovación arquitectónica y la eficiencia de parámetros, lo que permite a los modelos chinos lograr un rendimiento comparable a un costo significativamente menor. Se está formando una estructura de mercado de dos niveles: un segmento premium (ej. GLM5.2 de Zhipu) y un segmento de bajo costo para tareas de agentes inteligentes y usuarios sensibles al precio. Se proyecta que los ingresos por API y suscripciones de modelos chinos crecerán drásticamente, de 35 mil millones de RMB en 2026 a 879 mil millones en 2030. La estrategia predominante es el código abierto o de pesos abiertos, que favorece la adopción, aunque presenta desafíos para la monetización. La industria podría migrar hacia un modelo de "pesos abiertos + licencia comunitaria" con acuerdos de reparto de ingresos. La expansión internacional, especialmente en mercados no estadounidenses, representa la mayor oportunidad de crecimiento, aprovechando la ventaja de costo-rendimiento. Goldman Sachs identifica a los posibles ganadores utilizando un marco tridimensional que evalúa la capacidad de fijación de precios, la ventaja de costos y la solidez financiera. En modelos de texto básico, Zhipu AI y DeepSeek tienen la posición más sólida. En el ámbito multimodal/generación de video, ByteDance lidera con su modelo Seed. La firma mantiene su calificación de compra para MiniMax, citando su atractiva valoración.

marsbitHace 1 hora(s)

Informe en profundidad de Goldman Sachs: ¿Quiénes serán los ganadores a largo plazo en la industria china de modelos de IA a gran escala?

marsbitHace 1 hora(s)

Informe Profundo de Goldman Sachs: ¿Quién será el ganador a largo plazo en la industria china de modelos de IA grandes?

China se encuentra en un punto de inflexión histórico en cuanto a modelos de IA a gran escala. Según Goldman Sachs, los modelos chinos de código abierto/ponderaciones abiertas han alcanzado un rendimiento cercano al de los mejores modelos propietarios globales, con una rápida adopción por empresas chinas y pymes mundiales, creando un efecto de círculo virtuoso de datos para futuras mejoras. El informe destaca la ventaja de coste-eficiencia de los modelos chinos, lograda mediante innovaciones arquitectónicas (como MoE) que permiten alto rendimiento con menos parámetros activos (3-5%). Modelos como DeepSeek V4 Pro (1,6 billones de parámetros) y GLM5.2 de Zhipu (0,7 billones) son ejemplos clave. El LongCat 2.0 de Meituan, entrenado con chips nacionales, marca un hito en la autosuficiencia. El mercado se está estructurando en dos niveles: modelos premium (como GLM5.2, ~1$/millón de tokens) y modelos económicos para agentes de IA (~0.06-0.2$/millón). Se proyecta que los ingresos por API/suscripción crezcan desde 35.000 millones de RMB en 2026 hasta 879.000 millones en 2030. La estrategia predominante es el código abierto o ponderaciones abiertas (salvo ByteDance), lo que fomenta la adopción pero limita la monetización directa. Se espera una transición hacia licencias comunitarias con acuerdos de reparto de ingresos para mejorar la rentabilidad. La expansión internacional, especialmente en mercados no estadounidenses, es clave. El enfoque empresarial global está cambiando de maximizar tokens a priorizar el ROI. Plataformas como AWS Bedrock y Gemini ya ofrecen modelos chinos. Para identificar a los ganadores a largo plazo, Goldman Sachs aplica un marco basado en capacidad de fijación de precios, ventaja en costes y solidez financiera. En modelos de texto, Zhipu y DeepSeek tienen la posición más fuerte. En multimodal/generación de video, ByteDance lidera con Seed, seguido por Kuaishou y MiniMax. Se mantiene una calificación de compra para MiniMax y Kuaishou.

链捕手Hace 1 hora(s)

Informe Profundo de Goldman Sachs: ¿Quién será el ganador a largo plazo en la industria china de modelos de IA grandes?

链捕手Hace 1 hora(s)

Trading

Spot
活动图片