La société de sécurité Socket a découvert une faille dans le paquet npm @injectivelabs/sdk-ts, utilisé par la blockchain Injective, où des hackers ont inséré un code malveillant pour voler les clés privées des portefeuilles et les mnémoniques. Les attaquants ont compromis le compte GitHub d'un développeur pour exécuter l'attaque, encodant les données volées et les envoyant à un serveur déguisé en adresse réseau légitime d'Injective. Le paquet, qui compte environ 50 000 téléchargements par semaine, a vu sa version malveillante 1.20.21 introduite le 8 juin, affectant 17 autres paquets dans le scope npm d'Injective Labs. Bien que le PDG d'Injective, Eric Chen, ait confirmé que le problème a été résolu et que les versions affectées ont été dépréciées, le paquet malveillant a été téléchargé plus de 310 fois. Socket avertit que l'attaque n'a pas été entièrement contenue.