แฮ็กเกอร์ฝังมัลแวร์ใน SDK ของ Injective ที่มียอดดาวน์โหลด 50,000 ครั้งต่อสัปดาห์ ขโมยซีดวอลเล็ตและกุญแจส่วนตัวนักพัฒนา

profile-alexey-bondarev
Alexey Bondarev1 ชั่วโมงที่แล้ว
แฮ็กเกอร์ฝังมัลแวร์ใน SDK ของ Injective ที่มียอดดาวน์โหลด 50,000 ครั้งต่อสัปดาห์ ขโมยซีดวอลเล็ตและกุญแจส่วนตัวนักพัฒนา

แฮ็กเกอร์แอบฝังมัลแวร์ขโมยคริปโทลงในแพ็กเกจ SDK อย่างเป็นทางการของ Injective (INJ) บน npm ซึ่งมียอดดาวน์โหลดเฉลี่ยราว 50,000 ครั้งต่อสัปดาห์ โดยเวอร์ชันที่ถูกปนเปื้อนถูกดาวน์โหลดไปแล้ว 310 ครั้ง ก่อนที่ทีมงานจะเร่งเก็บกวาดและออกเวอร์ชันแก้ไขตามมาอย่างรวดเร็ว

ประเด็นสำคัญ

  • SDK TypeScript หลักของ Injective เวอร์ชันหนึ่งถูกฝังโค้ดแอบก็อปปี้ซีดวอลเล็ตและกุญแจส่วนตัวระหว่างการใช้งานตามปกติ
  • รีลีสที่มุ่งร้ายถูกเผยแพร่กระจายไปยัง 18 แพ็กเกจ ดาวน์โหลดรวม 310 ครั้ง และออนไลน์อยู่ไม่ถึงหนึ่งชั่วโมง
  • นักวิจัยชี้ชัด กุญแจหรือมโนมิกใด ๆ ที่เคยผ่านเวอร์ชันที่ได้รับผลกระทบ ต้องถือว่า “ถูกเจาะแล้ว” ทั้งหมด

รายละเอียดช่องโหว่ใน Injective SDK

บริษัทด้านความปลอดภัย Socket ออกมาเปิดเผย เมื่อวันพฤหัสบดีว่า แพ็กเกจ @injectivelabs/sdk-ts เวอร์ชัน 1.20.21 บน npm ถูกแก้ไขโค้ดผ่านบัญชีคอนทริบิวเตอร์บน GitHub ที่ถูกยึดครอง โดย SDK ชุดนี้เป็นโครงสร้างหลักที่นักพัฒนานำไปใช้สร้างวอลเล็ต กระดานเทรด และบอตเทรดบน Injective บล็อกเชนเลเยอร์ 1 ที่ออกแบบมาสำหรับดีไฟน์

โค้ดมุ่งร้ายถูกพรางตัวเป็นโมดูลวิเคราะห์การใช้งานธรรมดา แต่มันไป “ฮุก” ฟังก์ชันที่ใช้แปลงซีดวอลเล็ตหรือกุญแจส่วนตัวดิบ ให้เป็นกุญแจสำหรับเซ็นธุรกรรมที่พร้อมใช้งาน ทุกครั้งที่แอปพลิเคชันเรียกใช้ฟังก์ชันดังกล่าว โค้ดจะลอบเก็บข้อมูลลับเหล่านี้ จากนั้นรอรวมเป็นแบตช์ราวสองวินาที แล้วส่งออกไปยังเซิร์ฟเวอร์ที่ปลอมตัวให้ดูเหมือนโครงสร้างพื้นฐานทางการของ Injective

ข้อมูลที่ถูกขโมยถูกซ่อนอยู่ในเฮดเดอร์ของ HTTP request ทำให้กลมกลืนไปกับทราฟฟิกปกติและยากต่อการตรวจจับ

กระบวนการเผยแพร่แบบอัตโนมัติทำให้เวอร์ชันที่ถูกเจาะเดียวกันนี้ถูกผลักกระจายไปยังแพ็กเกจที่เกี่ยวข้องอีก 17 ตัว ภายในไม่กี่นาทีหลังคอมมิตแรก ส่งผลให้ทีมพัฒนาจำนวนมากเสี่ยงได้รับผลกระทบ แม้ไม่ได้ติดตั้งแพ็กเกจต้นทางโดยตรง

การวิเคราะห์ระดับคอมมิตโดยนักวิจัยของ StepSecurity ชี้ให้เห็น ว่าเพย์โหลดถูกปล่อยใช้งานจริงเมื่อวันที่ 8 กรกฎาคม และถูกถอดออกภายในเวลาต่ำกว่าหนึ่งชั่วโมง ก่อนที่เวอร์ชันสะอาด 1.20.23 จะถูกปล่อยตามออกมาในเวลาไม่นาน

ด้าน Eric Chen ซีอีโอของ Injective ระบุว่า ประเด็นดังกล่าวได้รับการแก้ไขแล้ว และสินทรัพย์บนเครือข่ายไม่ได้ตกอยู่ในความเสี่ยง อย่างไรก็ดี รีลีสที่ถูกเจาะถูกทำสถานะเป็น “deprecated” บน npm แทนที่จะถูกลบทิ้ง ส่งผลให้ยังสามารถดาวน์โหลดได้อยู่ ขณะที่ไฟล์อาร์ติแฟกต์ของบิลด์ที่ถูกปนเปื้อนก็ยังคงปรากฏอยู่บน GitHub ในช่วงเวลาที่มีการเปิดเผยข้อมูล

อ่านเพิ่มเติม: โมเมนตัม ETF ของ Solana ยิ่งยากจะมองข้าม หลัง Bitwise ยื่นไฟลิงใหม่

ทำไม “กุญแจวอลเล็ตคริปโท” จึงเป็นเป้าหมาย

นักวิจัยอธิบายการโจมตีครั้งนี้ว่า “มีนัยสำคัญต่อทุกทีมพัฒนาและแอปพลิเคชันที่จัดการกระบวนการทำงานของวอลเล็ต Injective” แม้จะยังไม่เปิดเผยชัดเจนว่ามีสินทรัพย์ถูกขโมยไปมากน้อยเพียงใดก็ตาม ทีมพัฒนาทุกฝ่ายถูกย้ำเตือนให้ถือว่ากุญแจหรือมโนมิกใด ๆ ที่เคยผ่านเวอร์ชันที่ได้รับผลกระทบ “หมดความปลอดภัยแล้ว” ทั้งสิ้น ต้องรีบย้ายเงินไปยังวอลเล็ตใหม่ และหมุนเปลี่ยนซีเคร็ตทั้งหมดในสภาพแวดล้อมการทำงาน

การโจมตีลักษณะนี้ไม่ได้แตะต้องระบบเข้ารหัสของตัวบล็อกเชนโดยตรง แต่อาศัยการวางยาชุดเครื่องมือที่นักพัฒนาวางใจใช้งานอยู่ทุกวัน ทำให้บัญชีผู้มีสิทธิ์เพียงบัญชีเดียวถูกเปลี่ยนเป็นช่องทางกระจายมัลแวร์ที่สามารถไหลลงไปสู่แอปพลิเคชันปลายน้ำได้เป็นจำนวนมากอย่างเงียบ ๆ

นักวิเคราะห์รายงาน ว่า แพ็กเกจ SDK ที่ถูกเจาะนี้เพียงตัวเดียว ก็มีแพ็กเกจอื่นบน npm อีก 87 ตัวที่พึ่งพาเป็น dependency โดยตรง ยิ่งขยายวงความเสี่ยงของซัพพลายเชนซอฟต์แวร์

เหตุการณ์นี้ถือเป็นตอนล่าสุดในช่วงเวลาที่โหดร้ายสำหรับระบบเครื่องมือโอเพ่นซอร์สในโลกคริปโท ต่อเนื่องจากกรณี Axios บน npm ถูกเจาะในลักษณะคล้ายกันเมื่อเดือนมีนาคม และแคมเปญมัลแวร์ TrapDoor ที่เล่นงานนักพัฒนาด้านคริปโทและดีไฟน์เมื่อเดือนพฤษภาคมที่ผ่านมา

รายงาน Skynet ของ CertiK จัดอันดับ การเจาะวอลเล็ตว่าเป็นเวกเตอร์การโจมตีที่สร้างความเสียหายทางมูลค่ามากที่สุดในครึ่งปีแรกของ 2026 คิดเป็นมูลค่าที่ถูกขโมยไปรวม 444 ล้านดอลลาร์ จากเหตุการณ์ 33 ครั้ง

อ่านต่อ: Grok 4.5 ท้าชน OpenAI และ Anthropic ด้วยเอเจนต์ AI ราคาย่อมเยา

ข้อจำกัดความรับผิดชอบและคำเตือนความเสี่ยง: ข้อมูลที่ให้ไว้ในบทความนี้มีไว้เพื่อการศึกษาและการให้ข้อมูลเท่านั้น และอิงตามความเห็นของผู้เขียน ไม่ถือเป็นคำแนะนำทางการเงิน การลงทุน กฎหมาย หรือภาษี สินทรัพย์คริปโตมีความผันผวนสูงและมีความเสี่ยงสูง รวมถึงความเสี่ยงในการสูญเสียเงินลงทุนทั้งหมดหรือส่วนใหญ่ การซื้อขายหรือการถือครองสินทรัพย์คริปโตอาจไม่เหมาะสมสำหรับนักลงทุนทุกคน ความเห็นที่แสดงในบทความนี้เป็นของผู้เขียนเท่านั้น และไม่ได้แทนนโยบายหรือตำแหน่งอย่างเป็นทางการของ Yellow ผู้ก่อตั้ง หรือผู้บริหาร ควรทำการวิจัยอย่างละเอียดด้วยตนเอง (D.Y.O.R.) และปรึกษาผู้เชี่ยวชาญทางการเงินที่ได้รับใบอนุญาตก่อนตัดสินใจลงทุนใดๆ เสมอ
ข่าวล่าสุด
แสดงข่าวทั้งหมด
ข่าวที่เกี่ยวข้อง
บทความวิจัยที่เกี่ยวข้อง
บทความการเรียนรู้ที่เกี่ยวข้อง