Einführung
Ein bösartiges Update eines Injective-Entwicklungspakets hat private Schlüssel und Seed-Phrasen offengelegt, nachdem es mehr als 300 Mal heruntergeladen wurde, wie die Sicherheitsfirma Socket herausfand.
Details des Vorfalls
Laut Socket wurde die Version 1.20.21 des npm-Pakets, das etwa 50.000 wöchentliche Downloads verzeichnet, verändert, nachdem das GitHub-Konto eines Entwicklers kompromittiert wurde. Verdächtige Commits begannen am 8. Juni, und die bösartige Veröffentlichung wurde später über 17 andere Pakete im Injective Labs npm-Scope verteilt.
Die Sicherheitsfirma erklärte, der Code habe Funktionen zur Generierung von Wallet-Schlüsseln abgefangen, private Schlüssel und Wiederherstellungssätze aufgezeichnet, diese Daten dann kodiert und über gefälschte Telemetrie an eine Webadresse gesendet, die so gestaltet war, dass sie einem Injective-Server ähnelte.
„Alle Schlüssel oder Mnemonics, die durch betroffene Pakete übermittelt wurden, sollten als kompromittiert betrachtet werden“, warnte Socket und fügte hinzu, dass Anwendungen möglicherweise exponiert wurden, selbst wenn sie das SDK nicht direkt installiert hatten.
Reaktionen und Maßnahmen
Obwohl der kompromittierte Entwickler die Eindringung schnell erkannte und die bösartige Paketversion entfernt wurde, erklärte Socket, dass die Kampagne noch nicht vollständig eingedämmt sei. Injective-CEO Eric Chen bestätigte, dass die betroffenen npm-Veröffentlichungen abgelehnt wurden und das Problem behoben sei. Chen fügte hinzu, dass keine Gelder im Injective-Netzwerk gefährdet seien, während Socket nicht berichtete, ob die Malware zu gestohlenen Vermögenswerten führte.
Angriffsstrategie
Anstatt die Kryptografie oder Smart Contracts einer Blockchain anzugreifen, zielte die Operation auf Software ab, die Entwickler verwenden, um Wallets, Börsen und Anwendungen zu erstellen. Die Security Alliance berichtete in ihrem Bedrohungsbericht für das zweite Quartal, dass Angreifer zunehmend Plattformen wie GitHub, npm und Google nutzen, um Malware zu verbreiten.
In einigen Vorfällen, so SEAL, wurden kompromittierte Maschinen verwendet, um bösartigen Code in die eigenen GitHub-Repositories eines Unternehmens einzuschleusen, wodurch ein Verstoß zu einem Kanal für weitere Verbreitung wurde. Der Bericht erwähnte auch einen Anstieg plattformübergreifender Malware-Pakete, die Infostealer, Remote Access Trojans und Backdoors kombinieren, einschließlich einer Zunahme von Kampagnen, die auf macOS abzielen.
Vergangene Vorfälle
Axios npm-Veröffentlichungen wurden im März von einem ähnlichen Supply-Chain-Angriff betroffen, während die im Mai entdeckte TrapDoor-Kampagne Entwickler in den Bereichen Krypto, DeFi, künstliche Intelligenz und Sicherheit ins Visier nahm. GitHub gab auch am 20. Mai unbefugten Zugriff auf interne Repositories bekannt, nachdem ein Mitarbeitergerät kompromittiert wurde.
Finanzielle Auswirkungen
Wallet-Kompromittierungen waren die kostspieligste Krypto-Angriffsart in der ersten Hälfte von 2026 und verursachten einen Verlust von 444 Millionen Dollar in 33 Fällen, so CertiK. Injective, eine interoperable Layer-1-Lösung für DeFi-Anwendungen, hat gesehen, dass ihr insgesamt gesperrter Wert von einem Höchststand von 71 Millionen Dollar Mitte 2024 um 88 % auf 8,2 Millionen Dollar gefallen ist, wie Daten von DefiLlama zeigen.
Anfang dieses Jahres genehmigten die Mitglieder der Community IIP-617, um die Reduzierung der neuen INJ-Ausgabe zu beschleunigen und gleichzeitig bestehende Token-Burns beizubehalten.