La empresa de seguridad Socket ha descubierto una brecha en el paquete npm @injectivelabs/sdk-ts, utilizado por la blockchain Injective, donde hackers insertaron código malicioso para robar claves privadas de billeteras y mnemónicos. Los atacantes comprometieron la cuenta de GitHub de un desarrollador para ejecutar el ataque, codificando los datos robados y enviándolos a un servidor disfrazado como una dirección legítima de la red Injective. El paquete, que tiene aproximadamente 50,000 descargas semanales, introdujo su versión maliciosa 1.20.21 el 8 de junio, afectando a otros 17 paquetes dentro del ámbito npm de Injective Labs. Aunque el CEO de Injective, Eric Chen, confirmó que el problema ha sido resuelto y las versiones afectadas han sido desaprobadas, el paquete malicioso fue descargado más de 310 veces. Socket advierte que el ataque no ha sido completamente contenido.