Aggiornamento Malevolo su Injective
Un aggiornamento malevolo a un pacchetto per sviluppatori di Injective ha esposto chiavi private e frasi seed dopo essere stato scaricato più di 300 volte, come ha scoperto la società di sicurezza Socket. Secondo Socket, la versione 1.20.21 del pacchetto npm, che conta circa 50.000 download settimanali, è stata alterata dopo che l’account GitHub di uno sviluppatore è stato compromesso.
Dettagli dell’Attacco
I commit sospetti sono iniziati l’8 giugno e la versione malevola è stata successivamente associata ad altri 17 pacchetti sotto lo scope npm di Injective Labs. La società di sicurezza ha dichiarato che il codice ha intercettato le funzioni di generazione delle chiavi del wallet, registrando chiavi private e frasi di recupero, per poi codificare i dati e inviarli tramite telemetria falsa a un indirizzo web creato per assomigliare a un server di Injective.
“Qualsiasi chiave o mnemonica passata attraverso i pacchetti interessati dovrebbe essere considerata compromessa,” ha affermato Socket, avvertendo che le applicazioni potrebbero essere state esposte anche se non avevano installato direttamente l’SDK.
Sebbene lo sviluppatore compromesso abbia rilevato rapidamente l’intrusione e la versione del pacchetto malevolo sia stata rimossa, Socket ha dichiarato che la campagna non era ancora completamente contenuta. Il CEO di Injective, Eric Chen, ha affermato che i rilasci npm interessati erano stati deprecati e il problema era stato risolto. Chen ha aggiunto che nessun fondo sulla rete Injective era a rischio, mentre Socket non ha riportato se il malware avesse portato a furti di beni.
Strategie di Attacco e Impatti
Piuttosto che attaccare la crittografia di una blockchain o i contratti smart, l’operazione ha preso di mira il software che gli sviluppatori utilizzano per costruire wallet, exchange e applicazioni. La Security Alliance ha dichiarato nel suo rapporto sulle minacce del secondo trimestre che gli attaccanti hanno utilizzato sempre più piattaforme, tra cui GitHub, npm e Google, per distribuire malware.
In alcuni incidenti, ha detto SEAL, macchine compromesse sono state utilizzate per spingere codice malevolo nei repository GitHub di un’azienda, consentendo a una violazione di diventare un canale per ulteriori distribuzioni. Il rapporto ha anche citato un aumento di pacchetti malware cross-platform che combinano infostealers, trojan di accesso remoto e backdoor, inclusa una crescita delle campagne mirate a macOS.
Incidenti Recenti e Dati di Settore
I rilasci npm di Axios sono stati colpiti da un attacco simile alla supply chain a marzo, mentre la campagna TrapDoor scoperta a maggio ha preso di mira sviluppatori che lavorano in crypto, DeFi, intelligenza artificiale e sicurezza. GitHub ha anche divulgato accessi non autorizzati a repository interni il 20 maggio dopo che un dispositivo di un dipendente è stato compromesso.
I compromessi dei wallet sono stati il metodo di attacco crypto più costoso nella prima metà del 2026, con 444 milioni di dollari rubati in 33 casi, secondo CertiK. Injective, un layer 1 interoperabile per applicazioni DeFi, ha visto il suo valore totale bloccato scendere dell’88% rispetto a un picco di 71 milioni di dollari a metà 2024, arrivando a 8,2 milioni di dollari, secondo i dati di DefiLlama.
All’inizio di quest’anno, i membri della comunità hanno approvato l’IIP-617, accelerando le riduzioni nell’emissione di nuovi INJ mantenendo i burn dei token esistenti.