Hakerzy zainfekowali SDK Injective z 50 tys. pobrań tygodniowo, by kraść frazy seed od deweloperów

Hakerzy zainfekowali SDK Injective z 50 tys. pobrań tygodniowo, by kraść frazy seed od deweloperów

Hakerzy wstrzyknęli złośliwe oprogramowanie kradnące portfele do oficjalnego pakietu deweloperskiego Injective (INJ), który notuje średnio 50 tys. pobrań tygodniowo. Zainfekowana wersja została pobrana 310 razy, zanim ekosystem zareagował i ją wyczyścił.

Najważniejsze informacje:

  • Zainfekowana wersja głównego zestawu TypeScript dla Injective kopiowała frazy seed portfeli oraz klucze prywatne podczas zwykłego użytkowania.
  • Złośliwe wydanie objęło łącznie 18 paczek, zostało pobrane 310 razy i pozostawało dostępne przez mniej niż godzinę.
  • Badacze podkreślają, że wszystkie klucze, które „przeszły” przez podatne wersje, należy traktować jako skompromitowane.

Szczegóły backdoora w SDK Injective

Firma bezpieczeństwa Socket ujawniła w czwartek, że wersja 1.20.21 pakietu @injectivelabs/sdk-ts w npm została zmodyfikowana poprzez przejęcie konta jednego z kontrybutorów na GitHubie. Ten zestaw narzędzi jest kluczowym komponentem portfeli, giełd i botów tradingowych działających na Injective – blockchainie warstwy pierwszej zaprojektowanym z myślą o zdecentralizowanych finansach.

Złośliwy kod podszywał się pod nieszkodliwą analitykę użytkowania i „podczepiał się” pod funkcje, które zamieniają frazę seed lub surowy klucz prywatny w klucz służący do podpisywania transakcji. Za każdym razem, gdy aplikacja wywoływała te funkcje, kod po cichu zapisywał wrażliwe dane, grupował je w dwusekundowych odstępach i wysyłał na serwer ucharakteryzowany na element oficjalnej infrastruktury Injective. Wykradane informacje umieszczano w nagłówku żądania HTTP, co pomagało im wtopić się w zwykły ruch sieciowy.

Zautomatyzowany proces publikacji przeniósł tę samą zainfekowaną wersję do 17 powiązanych paczek w ciągu kilku minut od pierwszego złośliwego commitu, zwiększając zasięg ataku na zespoły, które nigdy bezpośrednio nie instalowały głównego zestawu SDK.

Analiza na poziomie commitów wykazała, że ładunek został wdrożony 8 lipca i usunięty w mniej niż godzinę, a wkrótce potem opublikowano czystą wersję 1.20.23.

Dyrektor generalny Injective, Eric Chen, miał zapewniać, że problem został już rozwiązany, a środki ulokowane w sieci nie są zagrożone. Mimo to skompromitowane wydanie zostało w npm jedynie oznaczone jako przestarzałe (deprecated), a nie całkowicie usunięte, co pozostawia możliwość jego dalszego pobierania. W momencie ujawnienia incydentu artefakty zainfekowanej wersji były nadal dostępne także na GitHubie.

Przeczytaj również: Moment ETF dla Solany coraz trudniejszy do zignorowania po nowym wniosku Bitwise

Dlaczego celem były klucze do portfeli krypto

Badacze opisali incydent jako „poważny dla deweloperów i aplikacji obsługujących przepływy pracy portfeli Injective”, choć nie ujawniono, czy faktycznie doszło do kradzieży jakichkolwiek środków. Zespoły wezwano do traktowania każdego klucza czy mnemonika, który miał styczność z podatnymi wersjami, jako skompromitowanego, do przeniesienia środków do nowych portfeli oraz rotacji wszystkich sekretów w swoich środowiskach.

Ataki tego typu omijają kryptografię samego blockchaina. Zamiast tego napastnicy zatruwają zaufane narzędzia, na których polegają deweloperzy, zamieniając jedno przejęte konto w kanał dystrybucji, który po cichu dociera do tysięcy zależnych aplikacji.

Według analityków zainfekowany zestaw SDK ma bezpośrednio 87 innych paczek npm jako zależności podrzędne, co dodatkowo mnoży skalę ryzyka, jak podano.

Ten incydent domyka trudny okres dla otwartoźródłowych narzędzi kryptowalutowych. W marcu doszło do podobnego skażenia wydań biblioteki Axios w npm, a w maju kampania malware TrapDoor wymierzona była w deweloperów kryptowalut i DeFi. CertiK uznał kompromitacje portfeli za najbardziej kosztowny wektor ataku w pierwszej połowie 2026 r. – z 444 mln USD strat w 33 incydentach.

Zobacz także: Grok 4.5 rzuca wyzwanie OpenAI i Anthropic, oferując tańszą agentową AI

Zastrzeżenie i ostrzeżenie o ryzyku: Informacje zawarte w tym artykule służą wyłącznie celom edukacyjnym i informacyjnym i opierają się na opinii autora. Nie stanowią one porad finansowych, inwestycyjnych, prawnych czy podatkowych. Aktywa kryptowalutowe są bardzo zmienne i podlegają wysokiemu ryzyku, w tym ryzyku utraty całości lub znacznej części Twojej inwestycji. Handel lub posiadanie aktywów krypto może nie być odpowiednie dla wszystkich inwestorów. Poglądy wyrażone w tym artykule są wyłącznie poglądami autora/autorów i nie reprezentują oficjalnej polityki lub stanowiska Yellow, jej założycieli lub dyrektorów. Zawsze przeprowadź własne dokładne badania (D.Y.O.R.) i skonsultuj się z licencjonowanym specjalistą finansowym przed podjęciem jakiejkolwiek decyzji inwestycyjnej.
Hakerzy zainfekowali SDK Injective z 50 tys. pobrań tygodniowo, by kraść frazy seed od deweloperów | Yellow.com