A empresa de segurança Socket descobriu uma violação no pacote npm @injectivelabs/sdk-ts, usado pela blockchain Injective, onde hackers inseriram código malicioso para roubar chaves privadas de carteiras e mnemônicos. Os atacantes comprometeram a conta GitHub de um desenvolvedor para executar o ataque, codificando os dados roubados e enviando-os para um servidor disfarçado como um endereço legítimo da rede Injective. O pacote, que tem aproximadamente 50.000 downloads semanais, teve sua versão maliciosa 1.20.21 introduzida em 8 de junho, afetando outros 17 pacotes dentro do escopo npm da Injective Labs. Embora o CEO da Injective, Eric Chen, tenha confirmado que o problema foi resolvido e as versões afetadas foram descontinuadas, o pacote malicioso foi baixado mais de 310 vezes. A Socket alerta que o ataque ainda não foi totalmente contido.