https://www.cotillon-de-fete.fr/bonus-casino-acceptant-les-joueurs-belges/
Friday, July 10, 2026

El compromiso de GitHub de Injective Labs impulsa los paquetes npm para robar claves de billetera

TecnologíaEl compromiso de GitHub de Injective Labs impulsa los paquetes npm para robar claves de billetera

Actores de amenazas desconocidos comprometieron el repositorio GitHub del proyecto Injective Labs SDK y lo aprovecharon para publicar un paquete malicioso en el registro npm para robar claves privadas de billeteras de criptomonedas y frases iniciales mnemotécnicas.

La versión comprometida, @injectivelabs/sdk-ts@1.20.21venía integrado con una funcionalidad de telemetría falsa que extraía datos de billeteras de criptomonedas. La versión se lanzó el 8 de julio de 2026, pero desde entonces ha quedado obsoleta en el registro. Dicho esto, los artefactos de lanzamiento que pertenecen a la versión comprometida todavía están disponibles para descargar desde GitHub al momento de escribir este artículo.

“La funcionalidad maliciosa se introdujo en el repositorio oficial de GitHub del proyecto a través de confirmaciones enviadas por una cuenta de GitHub que pertenece a un desarrollador con un historial establecido de contribuciones al repositorio”, dijo Socket.

La firma de seguridad de la cadena de suministro de software dijo que el actor de amenazas detrás del ataque también publicó la versión 1.20.21 en 17 paquetes adicionales con alcance de @injectivelabs que dependían y fijaban la versión maliciosa del SDK, poniendo así a los usuarios transitivos que tal vez no hayan instalado la biblioteca directamente. Esto incluye –

  • @injectivelabs/utils
  • @injectivelabs/redes
  • @injectivelabs/tipos-ts
  • @injectivelabs/excepciones
  • @injectivelabs/base-billetera
  • @injectivelabs/wallet-core
  • @injectivelabs/billetera-cosmos
  • @injectivelabs/billetera-clave-privada
  • @injectivelabs/billetera-evm
  • @injectivelabs/billetera-trezor
  • @injectivelabs/billetera-cosmostation
  • @injectivelabs/billetera-ledger
  • @injectivelabs/wallet-wallet-connect
  • @injectivelabs/billetera-mágica
  • @injectivelabs/estrategia-billetera
  • @injectivelabs/billetera-llave en mano
  • @injectivelabs/billetera-cosmos-estrategia

El malware presente en el paquete es bastante simple y directo, y se activa cuando un desarrollador desprevenido utiliza la funcionalidad de la biblioteca. Al evitar los scripts del ciclo de vida y no ejecutarlos durante la fase de instalación, se ayuda a que el malware pase desapercibido.

Específicamente, se ha descubierto que la versión envenenada modifica funciones legítimas utilizadas en flujos de trabajo para generar claves privadas al invocar una función “trackKeyDerivation()” con el pretexto de recopilar métricas de uso anónimas para la optimización del SDK.

“Rastrea qué métodos de derivación de claves se utilizan (hexadecimal versus mnemónico) y deriva patrones de tiempo para ayudar al equipo del SDK a identificar cuellos de botella en el rendimiento y comprender la adopción de diferentes formatos de claves en todo el ecosistema”, se lee en la descripción de la supuesta función de telemetría. “Todas las métricas se activan y olvidan y nunca bloquean ni afectan la derivación de claves”.

Según Socket, los parámetros pasados ​​a la función incluyen un marcador codificado que describe el método utilizado para generar la clave privada y la información confidencial real necesaria para generar la clave privada. El material capturado es suficiente para que el actor de la amenaza regenere la clave privada.

“El malware agrega lógica de robo de billetera criptográfica a un paquete de billetera criptográfica, cada vez que un usuario legítimo crea o usa la lógica que lee frases mnemotécnicas, que son básicamente la clave maestra para cualquier billetera criptográfica, el malware las lee y las envía al servidor remoto”, dijo OX Security.

En un intento por reducir la cantidad de solicitudes salientes, el mecanismo de exfiltración está diseñado para agregar múltiples derivaciones de claves durante una ventana de dos segundos en una sola cola y luego enviarlas en forma de una solicitud HTTPS POST a un servidor externo (“testnet.archival.chain.grpc-web.injective(.)network”) en una única baliza.

StepSecurity señaló que la liberación maliciosa fue facilitada a través del propio canal de editor confiable (OIDC) del repositorio, y agregó que las confirmaciones maliciosas fueron creadas y enviadas bajo la identidad de un mantenedor confiable existente (“thomasRalee”).

Se recomienda a los usuarios que hayan instalado la versión maliciosa que actualicen a la versión limpia recién publicada del paquete (1.20.23), traten cualquier clave privada o frase mnemotécnica que pase a través del paquete como comprometida y las roten, y verifiquen si hay dependencias transitivas.

Artículos más populares