Хакеры скомпрометировали SDK Injective с 50 000 загрузок в неделю и похищали сид-фразы разработчиков

profile-alexey-bondarev
Alexey Bondarev7 часов назад
Хакеры скомпрометировали SDK Injective с 50 000 загрузок в неделю и похищали сид-фразы разработчиков

Хакеры внедрили вредоносный код для кражи криптокошельков в официальный пакет разработчика Injective (INJ), который в среднем загружают 50 000 раз в неделю. Заражённый релиз успели скачать 310 раз до того, как его оперативно заменили.

Ключевые факты

  • В подменённой версии основного TypeScript‑SDK Injective при штатной работе копировались сид-фразы и приватные ключи кошельков.
  • Вредоносный код распространился на 18 пакетов, был загружен 310 раз и пробыл в онлайне менее часа.
  • Исследователи настаивают: любые ключи, которые проходили через уязвимые версии, следует считать скомпрометированными.

Как работал бэкдор в SDK Injective

Компания по кибербезопасности Socket сообщила в четверг, что версия 1.20.21 пакета @injectivelabs/sdk-ts в npm была модифицирована через взломанный аккаунт контрибьютора на GitHub. Этот SDK — ключевой строительный блок для кошельков, бирж и торговых ботов в экосистеме Injective, блокчейна первого уровня, заточенного под DeFi.

Вредоносный код маскировался под безобидную аналитику использования и перехватывал функции, которые превращают сид-фразу или «сырые» приватные ключи в рабочие ключи подписи. Каждый вызов этих функций незаметно записывал секретные данные, группировал их в течение двух секунд и отправлял на сервер, замаскированный под легитимную инфраструктуру Injective. Похищенные ключи уходили внутри заголовка HTTP‑запроса, что позволяло трафику не выделяться среди обычных запросов.

Автоматическая публикация перенесла ту же вредоносную версию ещё в 17 связанных пакетов в течение нескольких минут после первого злонамеренного коммита, расширив зону поражения на команды, которые напрямую этот SDK не устанавливали.

Анализ на уровне коммитов показал, что вредоносная нагрузка была выкачана 8 июля и находилась в продакшене менее часа. Вскоре после этого вышла чистая версия 1.20.23.

По словам CEO Injective Эрика Чена, проблема уже устранена и средства в сети не находятся под угрозой. Тем не менее скомпрометированный релиз в npm лишь пометили как устаревший, а не удалили полностью, поэтому он по-прежнему остаётся доступным для скачивания. Артефакты заражённой сборки на момент раскрытия также сохранялись на GitHub.

Также читайте: Момент для ETF на Solana становится всё труднее игнорировать на фоне новой заявки Bitwise

Зачем охотились на ключи криптокошельков

Исследователи называют инцидент «существенным для разработчиков и приложений, которые работают с кошельками Injective», хотя не уточняют, были ли зафиксированы реальные кражи активов. Командам рекомендовали считать скомпрометированными любые ключи и мнемонические фразы, которые когда‑либо обрабатывались уязвимыми версиями, немедленно вывести средства на новые кошельки и полностью ротационировать все секреты в инфраструктуре.

Подобные атаки не ломают криптографию блокчейна как таковую. Злоумышленники бьют по цепочке поставок: отравляют доверенные инструменты разработчиков и превращают один захваченный аккаунт в скрытый канал распространения вредоносного кода, который может незаметно проникнуть в тысячи зависимых приложений.

По оценкам аналитиков, только у скомпрометированного SDK есть 87 прямых зависимостей среди других пакетов npm, что дополнительно расширяет зону риска для экосистемы сообщили исследователи.

Инцидент стал очередным ударом по открытому софту для криптоиндустрии: в марте схожим образом был скомпрометирован пакет Axios в npm, а в мае кампания вредоносного ПО TrapDoor нацелилась на разработчиков в сегментах крипто и DeFi. Компания CertiK оценивала компрометацию кошельков как самый дорогой вектор атак в первой половине 2026 года: в результате 33 инцидентов было похищено $444 млн.

Читайте далее: Grok 4.5 бросает вызов OpenAI и Anthropic, предлагая более дешёвый «агентный» ИИ

Отказ от ответственности и предупреждение о рисках: Информация, представленная в этой статье, предназначена только для образовательных и информационных целей и основана на мнении автора. Она не является финансовой, инвестиционной, юридической или налоговой консультацией. Криптоактивы крайне волатильны и подвержены высоким рискам, включая риск потери всех или значительной части ваших инвестиций. Торговля или владение криптоактивами может не подходить для всех инвесторов. Мнения, выраженные в этой статье, принадлежат исключительно автору(ам) и не представляют официальную политику или позицию Yellow, её основателей или руководителей. Всегда проводите собственное тщательное исследование (D.Y.O.R.) и консультируйтесь с лицензированным финансовым специалистом перед принятием любых инвестиционных решений.
Последние новости
Показать все новости
Связанные Новости
Связанные исследовательские статьи
Связанные обучающие статьи
Хакеры скомпрометировали SDK Injective с 50 000 загрузок в неделю и похищали сид-фразы разработчиков | Yellow.com