🚨 Alerta de seguridad: piratas informáticos intentaron crear una puerta trasera (backdoor) en un paquete npm de Injective para robar claves de billeteras.
Los ataques de la cadena de suministro ahora están apuntando directamente al stack de desarrolladores de cripto. Según la firma de seguridad Socket, se inyectó código malicioso en un paquete de npm vinculado a los flujos de billetera de Injective: diseñado para desviar en secreto claves privadas y credenciales de desarrolladores y de las aplicaciones que construyen.
Por qué importa:
• Los paquetes de npm están en el núcleo de la mayoría de los front-ends Web3 y las herramientas
• Una sola dependencia comprometida puede vaciar innumerables billeteras de usuarios
• El incidente afecta a Injective, un L1 basado en Cosmos popular para DeFi y el trading on-chain
Los investigadores de Socket advirtieron que el riesgo es especialmente grave para las apps que gestionan conexiones de billetera de Injective, donde un paquete contaminado podría exfiltrar claves en el momento en que los usuarios inician sesión.
La buena noticia: el paquete fue detectado antes de su adopción generalizada. Pero es un recordatorio contundente de que "solo hacer npm install" ya no es seguro en cripto. Los equipos deben fijar dependencias, auditar lockfiles y usar herramientas de escaneo para detectar scripts post-instalación sospechosos.
A medida que más valor se mueve on-chain, la superficie de ataque se desplaza al código en sí. Manténganse paranoicos, devs. 🔐
#Injective #CryptoSecurity #DeFi #Web3 #npm