В npm-пакете Injective нашли вредоносный код для кражи ключей кошельков
Socket сообщила о компрометации @injectivelabs/sdk-ts: вредоносная версия перехватывала приватные ключи и seed-фразы. Код уже удалили, но пакет успели скачать более 300 раз
Один основной источник · Как мы проверяем новости
Что произошло
Хакеры скомпрометировали широко используемый пакет Injective в npm, добавив в него вредоносный код для кражи приватных ключей криптокошельков.
Socket обнаружила в четверг, что пакет с примерно 50 000 скачиваний в неделю, используемый для разработки на блокчейне Injective, был изменен для кражи приватных ключей и seed-фраз.
Детали атаки
Компрометированной оказалась версия 1.20.21 пакета @injectivelabs/sdk-ts. По данным Socket, изменение прошло через взломанный GitHub-аккаунт разработчика, а подозрительные коммиты начались 8 июня.
Эта версия также была закреплена в 17 других пакетах в npm-пространстве Injective Labs. Socket отмечает, что из-за этого риску могли подвергнуться пользователи, которые не устанавливали SDK напрямую.
Вредоносный релиз перехватывал функции генерации ключей кошельков, записывал приватные ключи и мнемонические фразы, а затем передавал данные через поддельную телеметрию. Скомпрометированные данные кодировались и отправлялись на веб-адрес, похожий на легитимный сервер сети Injective.
Почему это важно
Исследователи Socket назвали инцидент значимым для разработчиков и приложений, которые работают с кошельками Injective, из-за большого числа скачиваний пакета.
Socket предупредила, что любые ключи или мнемонические фразы, прошедшие через затронутые пакеты, следует считать скомпрометированными.
Контекст
Атаки на цепочку поставок ПО отличаются тем, что злоумышленники не атакуют напрямую криптографию блокчейна или смарт-контракты, а компрометируют доверенные инструменты разработчиков, используемые для создания кошельков, бирж и приложений.
Injective — интероперабельный блокчейн первого уровня, предназначенный для DeFi-приложений. По данным DefiLlama, за последние два года его использование снизилось: общий объем заблокированной стоимости сократился на 88%, до $8,2 млн с пика в $71 млн в середине 2024 года.
Вредоносный код уже удалили. Socket также сообщила, что разработчик, чей аккаунт был взломан, быстро обнаружил компрометацию, но вредоносный пакет успели скачать более 300 раз, а кампания еще не полностью локализована.
Источники
Один основной источник. Как мы проверяем новости