Crypto Prices

Скомпрометированное обновление Injective SDK раскрывает ключи кошельков через поддельную телеметрию

15 часов назад
1 мин. чтения
2 просмотров

Зловредное обновление пакета Injective

Зловредное обновление пакета разработчика Injective раскрыло приватные ключи и сид-фразы после того, как было загружено более 300 раз, выяснила компания Socket. По данным компании по безопасности Socket, версия 1.20.21 npm-пакета, который имеет около 50 000 загрузок в неделю, была изменена после того, как аккаунт разработчика на GitHub был скомпрометирован.

Подозрительные коммиты и последствия

Подозрительные коммиты начались 8 июня, а зловредный релиз позже был закреплен в 17 других пакетах под областью npm Injective Labs. Компания по безопасности сообщила, что код перехватывал функции генерации ключей кошельков, записывал приватные ключи и фразы восстановления, затем кодировал данные и отправлял их через поддельную телеметрию на веб-адрес, созданный для имитации сервера Injective.

«Любые ключи или мнемоники, переданные через затронутые пакеты, должны рассматриваться как скомпрометированные», — заявила Socket, предостерегая, что приложения могли быть подвержены риску, даже если они не устанавливали SDK напрямую.

Реакция и последствия

Хотя скомпрометированный разработчик быстро обнаружил вторжение и зловредная версия пакета была удалена, Socket сообщила, что кампания еще не была полностью локализована. Генеральный директор Injective Эрик Чен сказал, что затронутые релизы npm были устаревшими, и проблема была решена. Чен добавил, что средства в сети Injective не были под угрозой, в то время как Socket не сообщила, привело ли вредоносное ПО к краже активов.

Тенденции в распространении вредоносного ПО

Вместо того чтобы атаковать криптографию блокчейна или смарт-контракты, операция нацелилась на программное обеспечение, которое разработчики используют для создания кошельков, бирж и приложений. Альянс безопасности в своем отчете о угрозах за второй квартал сообщил, что злоумышленники все чаще использовали платформы, включая GitHub, npm и Google, для распространения вредоносного ПО.

В некоторых инцидентах, по словам SEAL, скомпрометированные машины использовались для внедрения вредоносного кода в собственные репозитории GitHub компании, позволяя одной утечке стать каналом для дальнейшего распространения. В отчете также упоминались более кроссплатформенные пакеты вредоносного ПО, объединяющие инфостилеры, трояны удаленного доступа и бэкдоры, включая рост кампаний, нацеленных на macOS.

История атак на цепочку поставок

В марте аналогичная атака на цепочку поставок затронула релизы Axios npm, в то время как кампания TrapDoor, обнаруженная в мае, нацелилась на разработчиков, работающих в области криптовалют, DeFi, искусственного интеллекта и безопасности. GitHub также сообщил о несанкционированном доступе к внутренним репозиториям 20 мая после того, как устройство сотрудника было скомпрометировано.

Финансовые последствия

Компрометации кошельков стали самым затратным методом атаки на криптовалюту в первой половине 2026 года, составив $444 миллиона, украденных в 33 случаях, согласно CertiK. Injective, совместимый уровень 1 для приложений DeFi, увидел, как его общая заблокированная стоимость упала на 88% с пиковых $71 миллиона в середине 2024 года до $8,2 миллиона, согласно данным DefiLlama.

Ранее в этом году члены сообщества одобрили IIP-617, ускорив сокращение нового выпуска INJ, сохраняя при этом существующие сжигания токенов.

Популярные статьи