Onbekende aanvallers hebben de GitHub-repository van het Injective Labs SDK-project gecompromitteerd en via deze toegang een kwaadaardig pakket gepubliceerd in de npm-registry. Dit pakket, versie @injectivelabs/sdk-ts@1.20.21, bevatte nep-telemetriecode die private sleutels en mnemonic seed phrases van cryptowallets exfiltreerde.

De besmette versie werd op 8 juli 2026 uitgebracht, maar is inmiddels gedepricieerd in de registry. De release-artifacts van deze versie zijn echter nog steeds via GitHub te downloaden. De kwaadaardige functionaliteit werd geïntroduceerd via commits van een GitHub-account van een ontwikkelaar met een gevestigde bijdragegeschiedenis aan de repository, aldus Socket. De aanvaller publiceerde versie 1.20.21 ook in zeventien andere @injectivelabs-pakketten die afhankelijk zijn van deze SDK-versie, waardoor ook gebruikers die de SDK niet direct installeerden risico liepen.

De malware is relatief eenvoudig en wordt pas actief wanneer de bibliotheekfunctie wordt gebruikt. Door lifecycle-scripts te vermijden en niet tijdens installatie te activeren, blijft de malware onopgemerkt. De geïnfecteerde versie wijzigt legitieme functies die private keys genereren door een "trackKeyDerivation()"-functie aan te roepen, zogenaamd voor geanonimiseerde telemetrie om SDK-prestaties te optimaliseren. In werkelijkheid worden hiermee gevoelige gegevens, waaronder mnemonic phrases, onderschept en naar een externe server gestuurd.

De exfiltratie is zo ontworpen dat meerdere key derivations binnen een tijdsbestek van twee seconden worden samengevoegd en in één HTTPS POST-verzoek worden verzonden naar een externe server met het domein "testnet.archival.chain.grpc-web.injective[.]network", aldus StepSecurity. De kwaadaardige commits werden via de vertrouwde OIDC-pijplijn van de repository gepusht onder de identiteit van een bestaande, vertrouwde maintainer met de gebruikersnaam "thomasRalee".

Gebruikers die de besmette versie hebben geïnstalleerd, wordt geadviseerd om zo snel mogelijk te upgraden naar de schone versie 1.20.23 om verdere risico’s te vermijden.