Хакеры внедрили вредоносный код для кражи криптокошельков в официальный пакет разработчика Injective (INJ), который в среднем загружают 50 000 раз в неделю. Заражённый релиз успели скачать 310 раз до того, как его оперативно заменили.
Ключевые факты
- В подменённой версии основного TypeScript‑SDK Injective при штатной работе копировались сид-фразы и приватные ключи кошельков.
- Вредоносный код распространился на 18 пакетов, был загружен 310 раз и пробыл в онлайне менее часа.
- Исследователи настаивают: любые ключи, которые проходили через уязвимые версии, следует считать скомпрометированными.
Как работал бэкдор в SDK Injective
Компания по кибербезопасности Socket сообщила в четверг, что версия 1.20.21 пакета @injectivelabs/sdk-ts в npm была модифицирована через взломанный аккаунт контрибьютора на GitHub. Этот SDK — ключевой строительный блок для кошельков, бирж и торговых ботов в экосистеме Injective, блокчейна первого уровня, заточенного под DeFi.
Вредоносный код маскировался под безобидную аналитику использования и перехватывал функции, которые превращают сид-фразу или «сырые» приватные ключи в рабочие ключи подписи. Каждый вызов этих функций незаметно записывал секретные данные, группировал их в течение двух секунд и отправлял на сервер, замаскированный под легитимную инфраструктуру Injective. Похищенные ключи уходили внутри заголовка HTTP‑запроса, что позволяло трафику не выделяться среди обычных запросов.
Автоматическая публикация перенесла ту же вредоносную версию ещё в 17 связанных пакетов в течение нескольких минут после первого злонамеренного коммита, расширив зону поражения на команды, которые напрямую этот SDK не устанавливали.
Анализ на уровне коммитов показал, что вредоносная нагрузка была выкачана 8 июля и находилась в продакшене менее часа. Вскоре после этого вышла чистая версия 1.20.23.
По словам CEO Injective Эрика Чена, проблема уже устранена и средства в сети не находятся под угрозой. Тем не менее скомпрометированный релиз в npm лишь пометили как устаревший, а не удалили полностью, поэтому он по-прежнему остаётся доступным для скачивания. Артефакты заражённой сборки на момент раскрытия также сохранялись на GitHub.
Также читайте: Момент для ETF на Solana становится всё труднее игнорировать на фоне новой заявки Bitwise
Зачем охотились на ключи криптокошельков
Исследователи называют инцидент «существенным для разработчиков и приложений, которые работают с кошельками Injective», хотя не уточняют, были ли зафиксированы реальные кражи активов. Командам рекомендовали считать скомпрометированными любые ключи и мнемонические фразы, которые когда‑либо обрабатывались уязвимыми версиями, немедленно вывести средства на новые кошельки и полностью ротационировать все секреты в инфраструктуре.
Подобные атаки не ломают криптографию блокчейна как таковую. Злоумышленники бьют по цепочке поставок: отравляют доверенные инструменты разработчиков и превращают один захваченный аккаунт в скрытый канал распространения вредоносного кода, который может незаметно проникнуть в тысячи зависимых приложений.
По оценкам аналитиков, только у скомпрометированного SDK есть 87 прямых зависимостей среди других пакетов npm, что дополнительно расширяет зону риска для экосистемы сообщили исследователи.
Инцидент стал очередным ударом по открытому софту для криптоиндустрии: в марте схожим образом был скомпрометирован пакет Axios в npm, а в мае кампания вредоносного ПО TrapDoor нацелилась на разработчиков в сегментах крипто и DeFi. Компания CertiK оценивала компрометацию кошельков как самый дорогой вектор атак в первой половине 2026 года: в результате 33 инцидентов было похищено $444 млн.
Читайте далее: Grok 4.5 бросает вызов OpenAI и Anthropic, предлагая более дешёвый «агентный» ИИ





