Hakerzy zainfekowali SDK Injective z 50 tys. pobrań tygodniowo, by kraść klucze i frazy seed deweloperów

Hakerzy zainfekowali SDK Injective z 50 tys. pobrań tygodniowo, by kraść klucze i frazy seed deweloperów

Hakerzy wstrzyknęli złośliwe oprogramowanie kradnące portfele do oficjalnego pakietu deweloperskiego Injective (INJ), który notuje średnio 50 tys. pobrań tygodniowo. Zainfekowane wydanie zostało pobrane 310 razy, zanim usunięto je w ramach szybkiej akcji porządkowej.

Najważniejsze informacje:

  • Złośliwa wersja głównego zestawu TypeScript dla Injective kopiowała frazy seed portfeli oraz klucze prywatne podczas zwykłego użycia.
  • Szkodliwe wydanie rozlało się na 18 pakietów, zostało pobrane 310 razy i pozostawało dostępne krócej niż godzinę.
  • Badacze podkreślają, że wszystkie klucze, które „przeszły” przez zainfekowane wersje, należy uznać za skompromitowane.

Szczegóły backdoora w SDK Injective

Firma bezpieczeństwa Socket ujawniła w czwartek, że wersja 1.20.21 pakietu @injectivelabs/sdk-ts w repozytorium npm została zmodyfikowana po przejęciu konta jednego ze współtwórców na GitHubie. Zestaw jest kluczowym komponentem portfeli, giełd i botów tradingowych działających na Injective, łańcuchu warstwy pierwszej zaprojektowanym z myślą o zdecentralizowanych finansach.

Złośliwy kod podszywał się pod nieszkodliwą analitykę użytkowania i podpiął się pod funkcje, które zamieniają frazę seed lub surowy klucz prywatny w klucz podpisujący. Za każdym razem, gdy aplikacja wywoływała te funkcje, moduł cicho rejestrował sekrety, grupował je w odstępach dwusekundowych i wysyłał na serwer podszywający się pod infrastrukturę Injective. Wykradzione dane „podróżowały” w nagłówku żądania HTTP, co pozwalało im zlewać się ze zwykłym ruchem sieciowym.

Automatyczny proces publikacji rozpropagował tę samą, zatrutą wersję do kolejnych 17 powiązanych pakietów w ciągu zaledwie kilku minut od pierwszego złośliwego commitu, znacząco zwiększając ekspozycję zespołów, które nigdy nie instalowały głównego zestawu bezpośrednio.

Analiza na poziomie commitów pokazała, że ładunek został wdrożony 8 lipca i usunięty w mniej niż godzinę, a w krótkim czasie po nim pojawiła się czysta wersja 1.20.23.

CEO Injective, Eric Chen, miał zapewniać, że problem został już usunięty i środki zdeponowane w sieci nie są zagrożone. Mimo to skompromitowane wydanie jedynie oznaczono w npm jako przestarzałe (deprecated), zamiast je usunąć, co pozostawiło możliwość jego dalszego pobierania. W momencie upublicznienia informacji na GitHubie nadal znajdowały się artefakty z zainfekowanej kompilacji.

Przeczytaj także: „ETF moment” Solany coraz trudniejszy do ignorowania po nowym wniosku Bitwise

Dlaczego celem były klucze do portfeli krypto

Badacze określili incydent jako „istotny dla deweloperów i aplikacji obsługujących przepływy portfeli Injective”, choć nie wskazali jednoznacznie, czy doszło do realnej kradzieży aktywów. Zespoły zostały wezwane, by traktować każdy klucz czy mnemonic, który miał kontakt z zainfekowanymi wersjami, jako skompromitowany, przelać środki do nowych portfeli i wymienić wszystkie sekrety w swoich środowiskach.

Ataki tego typu nie naruszają kryptografii samego blockchaina. Zamiast tego uderzają w zaufane narzędzia deweloperskie, zamieniając jedno przejęte konto w kanał dystrybucji, który może po cichu dosięgnąć tysięcy aplikacji „niższego szczebla”.

Tylko skompromitowany zestaw SDK ma bezpośrednio 87 innych pakietów npm jako zależności – wynika z analiz przytoczonych przez ekspertów.

Ten incydent domyka trudny okres dla otwartoźródłowych narzędzi krypto, po podobnym przejęciu wydań Axios w npm w marcu oraz kampanii malware TrapDoor, która w maju uderzyła w deweloperów krypto i DeFi. CertiK ocenił kompromitacje portfeli jako najkosztowniejszy wektor ataku w pierwszej połowie 2026 r. – z łącznymi stratami na poziomie 444 mln dol. w 33 incydentach.

Przeczytaj następne: Grok 4.5 rzuca wyzwanie OpenAI i Anthropic, oferując tańszą, „agencyjną” AI

Zastrzeżenie i ostrzeżenie o ryzyku: Informacje zawarte w tym artykule służą wyłącznie celom edukacyjnym i informacyjnym i opierają się na opinii autora. Nie stanowią one porad finansowych, inwestycyjnych, prawnych czy podatkowych. Aktywa kryptowalutowe są bardzo zmienne i podlegają wysokiemu ryzyku, w tym ryzyku utraty całości lub znacznej części Twojej inwestycji. Handel lub posiadanie aktywów krypto może nie być odpowiednie dla wszystkich inwestorów. Poglądy wyrażone w tym artykule są wyłącznie poglądami autora/autorów i nie reprezentują oficjalnej polityki lub stanowiska Yellow, jej założycieli lub dyrektorów. Zawsze przeprowadź własne dokładne badania (D.Y.O.R.) i skonsultuj się z licencjonowanym specjalistą finansowym przed podjęciem jakiejkolwiek decyzji inwestycyjnej.
Hakerzy zainfekowali SDK Injective z 50 tys. pobrań tygodniowo, by kraść klucze i frazy seed deweloperów | Yellow.com