Złośliwa aktualizacja pakietu dla deweloperów Injective ujawniła klucze prywatne i frazy seed po tym, jak została pobrana ponad 300 razy, ustalił Socket.
Zgodnie z informacjami firmy bezpieczeństwa Socket, wersja 1.20.21 pakietu npm @injectivelabs/sdk-ts, który ma około 50 000 pobrań tygodniowo, została zmodyfikowana po przejęciu konta GitHub dewelopera. Podejrzane commity rozpoczęły się 8 czerwca, a złośliwe wydanie zostało później przypięte do 17 innych pakietów w zakresie npm Injective Labs.
Firma bezpieczeństwa oświadczyła, że kod przechwytywał funkcje generowania kluczy portfela, rejestrował klucze prywatne i frazy odzyskiwania, a następnie kodował dane i wysyłał je poprzez fałszywą telemetrię na adres internetowy udający serwer Injective.
„Wszelkie klucze lub mnemoniki przekazane przez affected packages powinny być traktowane jako skompromitowane”, powiedział Socket, ostrzegając, że aplikacje mogły zostać narażone, nawet jeśli nie zainstalowano SDK bezpośrednio.
Mimo że skompromitowany deweloper szybko wykrył włamanie, a złośliwa wersja pakietu została usunięta, Socket stwierdził, że kampania nie została jeszcze w pełni opanowana.
Dyrektor generalny Injective, Eric Chen, powiedział, że dotknięte wydania npm zostały wycofane, a problem naprawiony. Chen dodał, że żadne środki w sieci Injective nie były zagrożone, podczas gdy Socket nie zgłosił, czy złośliwe oprogramowanie doprowadziło do kradzieży aktywów.
Zamiast atakować kryptografię blockchaina lub kontrakty inteligentne, operacja celowała w oprogramowanie, którego deweloperzy używają do budowania portfeli, giełd i aplikacji. Security Alliance stated in its second-quarter threat report that attackers have increasingly used platforms including GitHub, npm, and Google to distribute malware.
W niektórych przypadkach, jak poinformował SEAL, skompromitowane maszyny zostały wykorzystane do wprowadzenia złośliwego kodu do własnych repozytoriów GitHub firmy, co pozwoliło, aby jedno naruszenie stało się kanałem dalszej dystrybucji. Raport cytował również więcej wieloplatformowych pakietów złośliwego oprogramowania łączących złodziei danych, trojany zdalnego dostępu i backdoory, w tym wzrost kampanii skierowanych przeciwko macOS.
Wydania npm Axios padły ofiarą podobnego ataku na łańcuch dostaw w marcu, podczas gdy kampania TrapDoor odkryta w maju celowała w deweloperów pracujących w sektorach krypto, DeFi, sztucznej inteligencji i bezpieczeństwa. GitHub ujawnił również nieautoryzowany dostęp do wewnętrznych repozytoriów 20 maja po skompromitowaniu urządzenia pracownika.
Kompromitacje portfeli były najdroższą metodą ataku krypto w pierwszej połowie 2026 roku, odpowiadając za kradzież 444 milionów dolarów w 33 przypadkach, według CertiK.
Injective, interoperacyjna warstwa 1 dla aplikacji DeFi, odnotowała spadek całkowitej wartości zablokowanej (TVL) o 88% z szczytu z połowy 2024 roku wynoszącego 71 milionów dolarów do 8,2 miliona dolarów, pokazują dane DefiLlama. Wcześniej w tym roku członkowie społeczności zatwierdzili IIP-617, przyspieszając redukcję nowej emisji INJ przy zachowaniu istniejącego spalania tokenów.

