แฮ็กเกอร์ลักลอบฝังมัลแวร์ขโมยกระเป๋าเงินลงในแพ็กเกจ SDK ทางการของ Injective (INJ) ที่มียอดดาวน์โหลดเฉลี่ยราว 50,000 ครั้งต่อสัปดาห์ โดยรุ่นที่ปนเปื้อนถูกดาวน์โหลดไปแล้ว 310 ครั้งก่อนที่ทีมงานจะเร่งกวาดล้างออกจากระบบ
ประเด็นสำคัญ
- เวอร์ชันที่ปนเปื้อนของชุดพัฒนา TypeScript หลักของ Injective แอบคัดลอกซีดวลีและกุญแจส่วนตัวของกระเป๋าเงินระหว่างการใช้งานปกติ
- รีลีสอันตรายกระจายไปถึง 18 แพ็กเกจ ถูกดาวน์โหลด 310 ครั้ง และออนไลน์อยู่ไม่ถึง 1 ชั่วโมง
- นักวิจัยแนะนำให้ถือว่ากุญแจทุกชุดที่ผ่านเวอร์ชันที่ได้รับผลกระทบ “ถูกเจาะแล้ว” ทั้งหมด
รายละเอียดแบ็กดอร์ใน Injective SDK
บริษัทด้านความปลอดภัย Socket เปิดเผย เมื่อวันพฤหัสบดีว่าแพ็กเกจ @injectivelabs/sdk-ts เวอร์ชัน 1.20.21 บน npm ถูกแก้ไขโค้ดผ่านบัญชีผู้มีส่วนร่วมบน GitHub ที่ถูกยึดครอง SDK ชุดนี้เป็นโครงสร้างหลักที่ใช้พัฒนากระเป๋าเงิน แพลตฟอร์มเทรด และบอตซื้อขายบน Injective ซึ่งเป็นเลเยอร์ 1 ที่โฟกัสดีไฟน์ (DeFi)
โค้ดมุ่งร้ายปลอมตัวเป็นระบบเก็บสถิติการใช้งาน แล้ว “ฮุก” ฟังก์ชันที่ใช้แปลงซีดวลีหรือกุญแจส่วนตัวดิบ ให้กลายเป็นกุญแจสำหรับลงลายเซ็นธุรกรรม ทุกครั้งที่แอปพลิเคชันเรียกใช้ ฟังก์ชันดังกล่าวจะแอบเก็บความลับเหล่านี้ รวบรวมไว้ราว 2 วินาที ก่อนส่งออกไปยังเซิร์ฟเวอร์ที่ปลอมเป็นโครงสร้างพื้นฐานของ Injective โดยซ่อนข้อมูลที่ขโมยได้ไว้ในส่วนเฮดเดอร์ของคำขอ ทำให้กลมกลืนกับทราฟฟิกปกติ
ระบบเผยแพร่อัตโนมัติของ npm ทำให้เวอร์ชันที่ปนเปื้อน ถูกผลักกระจายไปยังแพ็กเกจที่เกี่ยวข้องอีก 17 รายการภายในไม่กี่นาทีหลังคอมมิตแรก ขยายวงความเสี่ยงไปยังทีมพัฒนาที่ไม่ได้ติดตั้ง SDK ตัวหลักโดยตรง
การวิเคราะห์ระดับคอมมิต พบ ว่าเพย์โหลดเริ่มทำงานเมื่อวันที่ 8 ก.ค. และถูกถอดออกภายในเวลาไม่ถึงหนึ่งชั่วโมง โดยมีเวอร์ชันสะอาด 1.20.23 ตามออกมาอย่างรวดเร็ว
ด้าน Eric Chen ซีอีโอ Injective ระบุว่าปัญหาได้รับการแก้ไขแล้ว และไม่มีสินทรัพย์บนเครือข่ายตกอยู่ในความเสี่ยง อย่างไรก็ดี รีลีสที่ถูกแทรกแซงถูก “เลิกใช้” (deprecated) บน npm แต่ไม่ได้ถูกลบออก ทำให้ยังถูกดาวน์โหลดซ้ำได้ ขณะที่อาร์ติแฟกต์จากบิลด์ที่ปนเปื้อนยังคงอยู่บน GitHub ในช่วงเวลาที่มีการเปิดเผยข้อมูล
อ่านเพิ่มเติม: ช่วงเวลาของ ETF บน Solana เริ่มยากจะมองข้าม หลังเอกสารยื่นใหม่จาก Bitwise
ทำไมกุญแจของกระเป๋าเงินคริปโตจึงเป็นเป้าหมาย
นักวิจัยอธิบายว่าการโจมตีครั้งนี้ “มีนัยสำคัญต่อทั้งนักพัฒนาและแอปพลิเคชันที่จัดการกระบวนการทำงานของกระเป๋าเงิน Injective” แม้จะยังไม่ยืนยันว่ามีสินทรัพย์ถูกขโมยไปจริงหรือไม่ ทีมพัฒนาทุกฝ่ายถูกขอให้ปฏิบัติต่อทุกกุญแจหรือมิคโนมอนิกที่เคยผ่านเวอร์ชันที่ได้รับผลกระทบ ว่า “ถูกเจาะแล้ว” พร้อมเร่งย้ายเงินไปยังกระเป๋าใหม่และหมุนเวียนความลับทุกประเภทในระบบ
การโจมตีลักษณะนี้ไม่ได้แตะต้องระบบคริปโตกราฟีของบล็อกเชนโดยตรง แต่มุ่งเล่นงาน “ซัพพลายเชนซอฟต์แวร์” ด้วยการปนเปื้อนเครื่องมือที่นักพัฒนาไว้วางใจ แปลงบัญชีผู้มีสิทธิ์เพียงรายเดียวให้กลายเป็นช่องทางกระจายมัลแวร์ ที่ลอบเจาะเข้าไปถึงแอปพลิเคชันปลายทางนับพันได้อย่างแนบเนียน
เฉพาะ SDK ที่ถูกเจาะนี้เพียงตัวเดียว ก็มีแพ็กเกจบน npm อื่น ๆ พึ่งพาโดยตรงถึง 87 รายการ ตามรายงานของนักวิเคราะห์ รายงานไว้
เหตุการณ์นี้เกิดขึ้นต่อเนื่องในช่วงเวลาที่เครื่องมือโอเพ่นซอร์สด้านคริปโตกำลังเผชิญแรงกดดันหนัก หลังการเจาะเวอร์ชัน npm ของ Axios เมื่อเดือนมีนาคม และแคมเปญมัลแวร์ TrapDoor ที่เล่นงานนักพัฒนาด้านคริปโตและดีไฟน์ในเดือนพฤษภาคม รายงานของ CertiK จัดอันดับ การเจาะกระเป๋าเงินว่าเป็นเวกเตอร์การโจมตีที่สร้างความเสียหายสูงสุดในครึ่งปีแรกของ 2026 ด้วยมูลค่าความเสียหายรวมราว 444 ล้านดอลลาร์จาก 33 เหตุการณ์
อ่านต่อ: Grok 4.5 ท้าชน OpenAI และ Anthropic ด้วย Agentic AI ต้นทุนต่ำ





