Una herramienta de desarrollo muy utilizada para la blockchain de Injective ha sufrido un ciberataque. Los atacantes lograron distribuir código malicioso a través de software oficial, lo que permitió robar claves privadas y frases semilla de monederos de criptomonedas.
La firma de seguridad Socket detectó que la versión 1.20.21 del paquete npm había sido infectada después de que la cuenta de GitHub de un desarrollador quedara comprometida. El paquete de software registra unas 50.000 descargas semanales por parte de desarrolladores que crean aplicaciones sobre la red de Injective.
Malware oculto en software oficial
En lugar de atacar directamente la blockchain, los hackers pusieron el foco en el software que utilizan los desarrolladores. Según Socket, el ataque no se limitó a un solo paquete: también fueron modificados otros diecisiete paquetes npm dentro del entorno de software de Injective Labs.
El malware se activaba cuando un desarrollador creaba un nuevo monedero. En ese momento, la clave privada y la frase semilla asociada se copiaban de forma inadvertida y se enviaban a un servidor controlado por los atacantes.
Socket advierte de que todos los monederos creados o gestionados con el software afectado deben considerarse comprometidos. La compañía recomienda a los desarrolladores sustituir sus monederos y claves lo antes posible.
Más de 300 descargas
El software infectado ya ha sido retirado y sustituido por versiones seguras. Aun así, según Socket, el paquete se había descargado más de 300 veces antes de que se descubriera el ataque. Por ahora no está claro si se llegó a robar criptomonedas.
El consejero delegado de Injective, Eric Chen, subrayó que la red en sí no se ha visto afectada.
Las versiones afectadas en npm han sido sustituidas y marcadas como obsoletas. Ningún fondo en la red de Injective estuvo en peligro.
Ataques cada vez más frecuentes a través del software
Según la Security Alliance (SEAL), los ciberdelincuentes recurren cada vez más a este tipo de ataques a la cadena de suministro. En estos casos no se ataca directamente a la blockchain ni a los usuarios, sino a software de confianza que los desarrolladores utilizan a diario.
Para los investigadores, el ataque contra Injective encaja en una tendencia más amplia. Otros paquetes de software populares ya habían sido objetivo de ataques similares. Además, los datos de CertiK muestran que comprometer monederos de criptomonedas sigue siendo uno de los métodos de ataque más rentables. En la primera mitad de 2026, se sustrajeron activos digitales por un total de 444 millones de dólares en 33 incidentes.
La cartera de un joven de 20 años, clave en una causa de blanqueo de 122 millones
Interpol incautó 293 millones de dólares y practicó 5.811 detenciones. Una sola cartera de un veinteañero movió 122,5 millones de dólares.
Un usuario de Ethereum pierde 999.999 dólares con un solo clic
Un usuario de la red Ethereum perdió casi 1 millón de dólares en USDT tras aprobar sin darse cuenta una transacción maliciosa.
Una criptocartera con 650.000 usuarios cierra tras una brecha de seguridad
Ctrl Wallet, una cartera multicadena sin custodia que permite a los usuarios gestionar sus propios activos digitales, cierra definitivamente.
Más leídos
Ripple incorpora la pieza que faltaba a la red XRP: préstamos para instituciones
Gigantes DeFi como Aave y Compound ya mueven miles de millones, pero Ripple sostiene que esos sistemas no encajan con las normas de Wall Street.
Mercado cripto: momento de la verdad para Bitcoin, Ethereum y XRP
Nueva jornada en verde para el mercado cripto. Bitcoin, Ethereum y XRP siguen subiendo y se acercan a niveles clave.
Trump ganó al menos 1.400 millones de dólares con criptomonedas en 2025
Donald Trump ganó en 2025 al menos 1.400 millones de dólares con criptomonedas, según nuevos documentos financieros del Gobierno de Estados Unidos.