Sari la continut
marți, 14 iulie 2026
TechInfos.ro

Laboratorul stirilor tech

Cyber

Pericolul din npm: cum ti se pot fura cheile portofelului crypto

Hackerii au compromis SDK-ul Injective pe npm pentru a fura chei private crypto. Afla cum te poti proteja.

TI 12 iulie 2026 4 min read
Pe scurt
  • Hackerii au compromis SDK-ul Injective pe npm pentru a fura chei private crypto.
  • Afla cum te poti proteja.
Continua analiza

Un atac sofisticat asupra lantului de aprovizionare software a vizat dezvoltatorii care utilizeaza SDK-ul Injective. Hackerii au compromis depozitul GitHub al proiectului si au publicat un pachet malitios pe npm, capabil sa fure chei private si fraze mnemonice ale portofelelor cripto.

Cum a functionat atacul

Atacatorii au preluat controlul asupra contului de GitHub al Injective Labs si au injectat cod malitios in SDK-ul oficial. Pachetul compromis a fost apoi incarcat pe npm sub acelasi nume, pacalind dezvoltatorii care il actualizau. Odata instalat, malware-ul scana sistemul pentru fisiere de portofel (precum keystore-uri sau fisiere JSON) si trimitea datele furate catre un server controlat de atacatori.

Impactul asupra dezvoltatorilor

Victimele sunt in principal dezvoltatorii care integreaza Injective in aplicatiile lor descentralizate (dApps) si care detin chei private pe masina locala. Atacul este de tip supply chain attack si subliniaza vulnerabilitatea ecosistemului npm, unde pachetele populare pot fi compromise fara ca utilizatorii sa observe imediat. Injective Labs a confirmat incidentul si a sfatuit comunitatea sa revizuiasca versiunile utilizate.

Cum te poti proteja

Pentru a reduce riscul, verifica integritatea pachetelor npm prin compararea hash-urilor cu cele oficiale. Nu pastra chei private pe masinile de dezvoltare si foloseste portofele hardware pentru sume mari. De asemenea, activeaza autentificarea cu doi factori pe toate conturile asociate depozitelor Git si registrelor de pachete.

Ce inseamna pentru tine

  • Daca folosesti Injective SDK, verifica versiunea instalata si ruleaza o scanare de malware pe sistem.
  • Nu descărca actualizări direct din depozitele GitHub fără a verifica integritatea commit-urilor.
  • Separă cheile private de mediul de dezvoltare și utilizează instrumente de tip vault pentru gestionarea secretelor.

Surse

Ai ajuns la final
Tech Brief

Cele mai importante stiri tech, intr-un format scurt.

Primeste sinteza zilnica AI, cyber si gadgeturi direct in inbox.