Хакеры внедрили вредоносный код, крадущий криптокошельки, в официальный пакет разработчика Injective (INJ) на npm, который в среднем набирает около 50 000 загрузок в неделю. Компрометированную версию успели скачать 310 раз до оперативной зачистки.
Главное:
- В изменённой версии основного TypeScript‑SDK Injective при обычной работе незаметно копировались сид-фразы и приватные ключи кошельков.
- Вредоносное обновление распространилось на 18 пакетов, было загружено 310 раз и оставалось доступным менее часа.
- Эксперты призывают считать скомпрометированными любые ключи, которые проходили через затронутые версии.
Как устроен бэкдор в SDK Injective
Компания по кибербезопасности Socket сообщила в четверг, что версия 1.20.21 пакета @injectivelabs/sdk-ts в репозитории npm была модифицирована через взломанный аккаунт контрибьютора на GitHub. Этот SDK — базовый компонент для кошельков, бирж и торговых ботов в экосистеме Injective, блокчейна первого уровня, ориентированного на децентрализованные финансы.
Вредоносный код маскировался под безобидную аналитику использования и перехватывал функции, которые преобразуют сид-фразу или «сырой» приватный ключ в рабочий ключ подписи. Каждый вызов этих функций приводил к тихой записи секретов, их пакетировке в течение двух секунд и отправке на сервер, замаскированный под инфраструктуру Injective. Данные передавались в заголовке HTTP-запроса, что позволяло трафику не выделяться на фоне обычных обращений.
Автоматическая публикация мгновенно разнесла заражённую версию ещё по 17 связанным пакетам, расширив круг пострадавших команд, которые напрямую этот SDK даже не устанавливали.
Анализ коммитов показал, что вредоносная нагрузка была выложена 8 июля и удалена менее чем через час. Вскоре за ней последовал чистый релиз версии 1.20.23.
Гендиректор Injective Эрик Чен заявил, что проблема уже устранена и средства в сети не находятся под угрозой. Тем не менее, компрометированная версия была лишь помечена как устаревшая (deprecated) на npm, а не полностью удалена, и потому формально оставалась доступной для установки. Артефакты скомпрометированной сборки на момент раскрытия также сохранялись на GitHub.
Также по теме: Момент для ETF на Solana становится всё труднее игнорировать после новой заявки Bitwise
Почему целью стали ключи криптокошельков
Исследователи назвали инцидент «значимым для разработчиков и приложений, работающих с кошельками Injective», хотя не уточнили, были ли фактически выведены какие-либо активы. Команды призвали относиться к любому ключу или мнемонической фразе, которые проходили через затронутые версии SDK, как к скомпрометированным: срочно переводить средства на новые кошельки и полностью ротировать все секреты в своих инфраструктурах.
Подобные атаки не ломают базовую криптографию блокчейна. Вместо этого злоумышленники заражают доверенные разработческие инструменты, превращая один взломанный аккаунт в канал распространения атаки, способный незаметно дотянуться до тысяч зависимых приложений.
По данным аналитиков, только этот скомпрометированный SDK имеет 87 прямых зависимостей среди других пакетов npm, что значительно увеличивает потенциальный радиус поражения, отмечает исследование.
Инцидент завершает тяжёлую полосу для опенсорс-инструментов в криптоиндустрии. Ему предшествовала похожая компрометация релизов Axios в npm в марте и кампания вредоносного ПО TrapDoor, нацеленного на разработчиков в крипто- и DeFi-секторе, в мае. CertiK оценил атаки на кошельки как самый дорогостоящий вектор взломов в первом полугодии 2026 года: за шесть месяцев через 33 инцидента было похищено около $444 млн.
Читайте далее: Grok 4.5 бросает вызов OpenAI и Anthropic, предлагая более дешёвый agentic‑AI





