Hacker kompromittieren Injective-SDK mit 50.000 Downloads und stehlen Seed-Phrasen von Entwicklern

Hacker kompromittieren Injective-SDK mit 50.000 Downloads und stehlen Seed-Phrasen von Entwicklern

Hacker haben eine Wallet-stehlende Malware in ein offizielles Injective-(INJ)-Entwicklerpaket eingeschleust, das im Schnitt 50.000 wöchentliche Downloads verzeichnet. Die manipulierte Version wurde 310‑mal heruntergeladen, bevor sie wieder bereinigt wurde.

Wichtigste Fakten:

  • Eine präparierte Version des zentralen TypeScript-SDKs von Injective kopierte während der normalen Nutzung Wallet-Seed-Phrasen und Private Keys.
  • Die schadhafte Veröffentlichung verteilte sich auf 18 Pakete, wurde 310‑mal geladen und war weniger als eine Stunde online.
  • Forscher raten, alle Keys, die durch die betroffenen Versionen liefen, als kompromittiert zu betrachten.

Details zur Injective-SDK-Hintertür

Das Sicherheitsunternehmen Socket meldete am Donnerstag, dass Version 1.20.21 des npm-Pakets @injectivelabs/sdk-ts über ein kompromittiertes Contributor-Konto auf GitHub manipuliert wurde. Das SDK ist ein zentrales Bauteil für Wallets, Börsen und Trading-Bots auf Injective, einer Layer‑1-Blockchain für dezentrale Finanzanwendungen.

Der schädliche Code tarnte sich als unverfängliche Nutzungsanalyse und hakte genau jene Funktionen ein, die aus einer Seed-Phrase oder einem rohen Private Key einen nutzbaren Signaturschlüssel ableiten. Jedes Mal, wenn eine Anwendung diese Funktionen aufrief, zeichnete der Code die geheimen Daten auf, bündelte sie für zwei Sekunden und schickte sie an einen Server, der als legitime Infrastruktur von Injective getarnt war. Die gestohlenen Informationen wurden in einem Request-Header übertragen und gingen so im normalen Datenverkehr unter.

Durch den automatisierten Veröffentlichungsprozess wurde dieselbe vergiftete Version innerhalb von Minuten nach dem ersten schädlichen Commit auf 17 verwandte Pakete ausgerollt – und erreichte damit auch Teams, die das Haupt-SDK nie direkt installiert hatten.

Eine Analyse auf Commit-Ebene zeigte, dass die Nutzlast am 8. Juli live ging und weniger als eine Stunde später wieder entfernt wurde. Kurz darauf folgte die bereinigte Version 1.20.23.

Injective-CEO Eric Chen betonte dem Vernehmen nach, das Problem sei behoben und Vermögenswerte im Netzwerk seien nicht gefährdet. Dennoch wurde die kompromittierte Version auf npm lediglich als veraltet markiert, nicht gelöscht – und blieb damit weiterhin herunterladbar. Auch Build-Artefakte der präparierten Version waren zum Zeitpunkt der Offenlegung noch auf GitHub abrufbar.

Lesen Sie auch: Solanas ETF-Moment wird nach neuem Bitwise-Antrag immer schwerer zu ignorieren

Warum es auf Crypto-Wallet-Keys abgesehen war

Forscher stuften den Vorfall als „bedeutend für Entwickler und Anwendungen, die Injective-Wallet-Workflows abbilden“ ein – ohne zu präzisieren, ob tatsächlich Vermögenswerte abgeflossen sind. Teams wurden eindringlich aufgefordert, jeden Key oder jede Mnemonic, die mit den betroffenen Versionen in Berührung kam, als kompromittiert zu werten, Gelder in frische Wallets zu verschieben und sämtliche Secrets in ihren Umgebungen zu rotieren.

Angriffe dieser Art zielen nicht auf die Kryptografie der Blockchain selbst. Stattdessen vergiften Angreifer die vertrauenswürdigen Werkzeuge der Entwickler und machen so aus einem einzigen übernommenen Konto einen verdeckten Distributionskanal, der potenziell Tausende nachgelagerter Anwendungen erreicht.

Allein das kompromittierte Haupt-SDK hat 87 weitere npm-Pakete als direkte Abhängigkeiten, wie Analysten berichteten.

Der Vorfall markiert den vorläufigen Höhepunkt einer harten Phase für Open-Source-Krypto-Tools: Im März war es zu einer ähnlichen Kompromittierung von Axios-npm-Releases gekommen, im Mai traf die TrapDoor-Malware-Kampagne vor allem Krypto- und DeFi-Entwickler. CertiK stuft Wallet-Kompromittierungen als kostspieligsten Angriffsvektor der ersten Jahreshälfte 2026 ein – mit Schadenssummen von 444 Millionen US‑Dollar in 33 Vorfällen.

Als Nächstes lesen: Grok 4.5 greift OpenAI und Anthropic mit günstigeren agentischen KI-Lösungen an

Haftungsausschluss und Risikowarnung: Die in diesem Artikel bereitgestellten Informationen dienen nur Bildungs- und Informationszwecken und basieren auf der Meinung des Autors. Sie stellen keine Finanz-, Anlage-, Rechts- oder Steuerberatung dar. Kryptowährungsassets sind hochvolatil und unterliegen hohen Risiken, einschließlich des Risikos, Ihre gesamte oder einen erheblichen Teil Ihrer Investition zu verlieren. Der Handel oder das Halten von Krypto-Assets ist möglicherweise nicht für alle Anleger geeignet. Die in diesem Artikel geäußerten Ansichten sind ausschließlich die des Autors/der Autoren und repräsentieren nicht die offizielle Politik oder Position von Yellow, seinen Gründern oder seinen Führungskräften. Führen Sie immer Ihre eigenen gründlichen Recherchen (D.Y.O.R.) durch und konsultieren Sie einen lizenzierten Finanzprofi, bevor Sie eine Anlageentscheidung treffen.