Hackerlar, haftada ortalama 50.000 indirme alan resmi Injective (INJ) geliştirici paketine cüzdan çalan bir kötü amaçlı yazılım enjekte etti; zehirli sürüm, hızla temizlenmeden önce 310 kez indirildi.
Öne Çıkan Noktalar:
- Injective’in temel TypeScript kitinin bozulmuş bir sürümü, normal kullanım sırasında cüzdan seed ifadelerini ve özel anahtarları kopyaladı.
- Kötü amaçlı sürüm, 18 pakete yayıldı, 310 kez indirildi ve bir saatten kısa süre yayında kaldı.
- Araştırmacılar, etkilenen sürümlerden geçen tüm anahtarların ele geçirilmiş sayılması gerektiği uyarısında bulunuyor.
Injective SDK’sındaki Arka Kapının Ayrıntıları
Siber güvenlik firması Socket, perşembe günü yayımladığı açıklamada, npm üzerindeki @injectivelabs/sdk-ts paketinin 1.20.21 sürümünün, GitHub’da ele geçirilmiş bir katkıcı hesabı üzerinden değiştirilerek arka kapı yerleştirildiğini bildirdi. Bu kit, merkeziyetsiz finans odaklı bir layer-1 blokzinciri olan Injective üzerinde cüzdanlar, borsalar ve trading botları için temel yapı taşı niteliğinde.
Zararlı kod, masum bir kullanım analitiği bileşeni gibi davranarak, seed ifadesi veya ham özel anahtarı imzalama anahtarına dönüştüren fonksiyonlara kanca attı. Uygulamalar bu fonksiyonları her çağırdığında, gizlice ilgili sırları kaydetti, iki saniye boyunca toplu halde biriktirdi ve bunları, gerçek Injective altyapısını andıran bir sunucuya gönderdi. Çalınan veriler, normal trafiğe karışabilmesi için bir istek başlığı (request header) içinde taşındı.
Otomatik yayımlama süreci, ilk zararlı commit’ten dakikalar sonra aynı bozuk sürümü 17 ilişkili pakete daha taşıdı; böylece kiti doğrudan kurmamış ekipler bile risk altına girdi.
Commit düzeyinde yapılan analizler, ortaya koydu ki zararlı yük 8 Temmuz’da yayına girdi ve bir saatten kısa sürede geri çekildi. Kısa süre sonra temiz 1.20.23 sürümü yayımlandı.
Injective CEO’su Eric Chen, sorunun giderildiğini ve ağ üzerindeki fonların risk altında olmadığını belirtti. Buna karşın, ele geçirilmiş sürüm npm üzerinde tamamen silinmek yerine yalnızca “deprecated” ilan edildi ve teorik olarak indirilebilir durumda kaldı. Bozulmuş derleme çıktıları da ifşa anı itibarıyla GitHub üzerinde hâlâ erişilebilirdi.
Ayrıca Oku: Solana’nın ETF Anı, Yeni Bitwise Başvurusu Sonrası Göz Ardı Edilemez Hale Geliyor
Neden Hedefte Kripto Cüzdan Anahtarları Vardı?
Araştırmacılar, bu saldırıyı “Injective cüzdan iş akışlarını yöneten geliştiriciler ve uygulamalar için kritik” olarak niteledi; ancak doğrudan varlık çalındığına dair bir rakam paylaşılmadı. Ekipler, etkilenen sürümlerle herhangi bir şekilde temas eden tüm anahtar ve mnemonic’lerin ele geçirilmiş kabul edilmesi, fonların yeni cüzdanlara taşınması ve tüm sırların (API anahtarları, imzalama anahtarları, erişim belirteçleri vb.) rotasyona sokulması yönünde uyarıldı.
Bu tür tedarik zinciri saldırıları, blokzincirlerin kriptografisini doğrudan hedef almıyor. Bunun yerine, geliştiricilerin güvendiği araç zinciri zehirleniyor ve tek bir hesabın ele geçirilmesi, sessizce binlerce aşağı akım uygulamaya ulaşabilen bir dağıtım kanalına dönüşüyor.
Analistlerin raporuna göre, yalnızca ele geçirilen bu kitin kendisine doğrudan bağlı 87 npm paketi bulunuyor.
Bu vaka, açık kaynak kripto araç ekosistemi için zorlu geçen bir dönemi taçlandırıyor. Mart ayında Axios’un npm sürümlerinde benzer bir kompromi yaşanmış, mayısta ise kripto ve DeFi geliştiricilerini hedef alan TrapDoor kötü amaçlı yazılım kampanyası ortaya çıkmıştı. CertiK, yayımladığı raporda, cüzdan kompromilerini 2026’nın ilk yarısının en maliyetli saldırı vektörü olarak sıraladı; yalnızca bu dönemde 33 vakada toplam 444 milyon dolar çalındı.
Sırada Oku: Grok 4.5, Daha Ucuz Odağıyla OpenAI ve Anthropic’e Yapay Zekâ Rekabetinde Meydan Okuyor





