Hackerlar, haftada ortalama 50 bin indirme alan resmi Injective (INJ) geliştirici paketine cüzdan hırsızı bir kötü amaçlı yazılım enjekte etti. Zehirlenmiş sürüm, hızla temizlenmeden önce 310 kez indirildi.
Öne çıkanlar:
- Injective'in temel TypeScript kitinin bozuk bir sürümü, normal kullanım sırasında cüzdan seed ifadelerini ve özel anahtarları kopyaladı.
- Zararlı sürüm 18 pakete yayıldı, 310 kez indirildi ve bir saatten kısa süre çevrimiçi kaldı.
- Araştırmacılar, etkilenen sürümlerden geçen tüm anahtarların ele geçirilmiş kabul edilmesi gerektiğini söylüyor.
Injective SDK'sındaki arka kapının ayrıntıları
Siber güvenlik firması Socket, Perşembe günü yayımladığı duyuruda, npm üzerinde yer alan @injectivelabs/sdk-ts paketinin 1.20.21 sürümünün, GitHub üzerindeki bir katkıcı hesabının ele geçirilmesiyle değiştirildiğini açıkladı. Bu kit, merkeziyetsiz finans odaklı layer-1 blokzincir Injective üzerinde çalışan cüzdanlar, borsalar ve alım-satım botları için temel bir yapı taşı konumunda.
Kötü amaçlı kod, zararsız bir kullanım analitiği modülü gibi kamufle edildi ve seed ifadesi ya da ham özel anahtarı imzalama anahtarına dönüştüren fonksiyonlara kanca attı. Uygulama bu fonksiyonları her çağırdığında, söz konusu sırlar sessizce kayda alındı, iki saniyelik paketler hâlinde toplanarak, sahte bir Injective altyapısı gibi görünen bir sunucuya gönderildi. Çalınan veriler istek başlığının içine gizlenerek olağan trafikle bütünleşti.
Otomatik yayın süreci, ilk zararlı commit’ten dakikalar sonra aynı zehirli sürümü 17 ilişkili pakete daha taşıdı; böylece kiti doğrudan hiç kurmamış ekipler de dolaylı biçimde risk altına girdi.
Commit düzeyinde yapılan analiz, ortaya koydu ki yük 8 Temmuz’da canlıya alındı ve bir saatten kısa sürede geri çekildi; kısa süre sonra da temiz 1.20.23 sürümü yayımlandı.
Injective CEO’su Eric Chen, sorunun giderildiğini ve ağ üzerindeki fonların risk altında olmadığını belirtti. Buna karşın, zararlı sürüm npm’de tamamen silinmek yerine yalnızca “deprecated” olarak işaretlendi ve hâlâ indirilebilir durumda kaldı. Bozulmuş derlemeye ait çıktılar da kamuoyuna duyuru yapıldığı sırada GitHub üzerinde erişilebilir durumdaydı.
Ayrıca Oku: Solana’nın ETF Anı, Yeni Bitwise Başvurusuyla Görmezden Gelinemez Hâle Geliyor
Neden hedef cüzdan anahtarlarıydı?
Araştırmacılar, bu saldırıyı “Injective cüzdan iş akışlarını yöneten geliştiriciler ve uygulamalar için ciddi bir risk” olarak tanımladı; ancak somut varlık kaybına ilişkin bir rakam paylaşılmadı. Ekipler, etkilenen sürümlerle herhangi bir şekilde temas etmiş tüm anahtar ve mnemonic’leri ele geçirilmiş varsaymaya, fonları yeni cüzdanlara taşımaya ve ortamlarındaki tüm sırları (API anahtarları, token’lar vb.) döndürmeye çağrıldı.
Bu tür saldırılar, doğrudan bir blokzincirin kriptografisini hedef almıyor. Bunun yerine, geliştiricilerin güvendiği araç zincirini zehirleyerek, tek bir ele geçirilmiş hesabı binlerce aşağı akım uygulamaya sessizce sızan bir dağıtım kanalı hâline getiriyor.
Analistlerin raporuna göre yalnızca ele geçirilen kitin doğrudan bağımlısı konumunda 87 npm paketi bulunuyor.
Bu vaka, açık kaynak kripto araç ekosistemi için zorlu geçen dönemin son halkalarından biri oldu. Mart ayında Axios’un npm paketlerinde yaşanan benzer tedarik zinciri zaafının ve Mayıs’ta kripto ile DeFi geliştiricilerini hedef alan TrapDoor zararlı yazılım kampanyasının ardından geldi. CertiK, raporunda cüzdan ele geçirme vakalarını 2026’nın ilk yarısının en maliyetli saldırı vektörü olarak sınıflandırdı; yalnızca bu alanda 33 olayda toplam 444 milyon dolar çalındığını hesapladı.
Sırada Oku: Grok 4.5, Daha Ucuz “Agentic AI” ile OpenAI ve Anthropic’e Meydan Okuyor





