🚨 Alerta de segurança: hackers tentaram criar um backdoor em um pacote npm da Injective para roubar chaves de carteiras.
Ataques de supply-chain agora estão mirando diretamente a pilha de desenvolvimento de cripto. De acordo com a empresa de segurança Socket, um código malicioso foi injetado em um pacote npm ligado aos fluxos de trabalho da carteira da Injective — projetado para sequestrar silenciosamente chaves privadas e credenciais de desenvolvedores e dos apps que eles constroem.
Por que isso importa:
• Pacotes npm ficam no centro da maioria dos front-ends Web3 e das ferramentas
• Uma única dependência comprometida pode drenar incontáveis carteiras de usuários
• O incidente atinge a Injective, um L1 baseado em Cosmos popular para DeFi e negociação on-chain
Pesquisadores da Socket alertaram que o risco é especialmente grave para apps que lidam com conexões de carteira da Injective, onde um pacote contaminado pode exfiltrar chaves no momento em que os usuários fazem login.
A boa notícia: o pacote foi sinalizado antes de uma adoção ampla. Mas é um lembrete contundente de que "apenas npm install" não é mais seguro em cripto. As equipes devem fixar (pin) dependências, auditar lockfiles e usar ferramentas de varredura para detectar scripts pós-instalação suspeitos.
À medida que mais valor se move on-chain, a superfície de ataque muda para o próprio código. Fiquem paranoicos, devs. 🔐
#Injective #CryptoSecurity #DeFi #Web3 #npm