Хакери зламали SDK Injective із 50 000 завантажень, щоб викрадати seed-фрази розробників

profile-alexey-bondarev
Alexey Bondarev1 годину тому
Хакери зламали SDK Injective із 50 000 завантажень, щоб викрадати seed-фрази розробників

Хакери впровадили шкідливе ПЗ для викрадення криптогаманців в офіційний пакет розробника Injective (INJ), який у середньому завантажують близько 50 000 разів на тиждень. Компрометовану збірку встигли завантажити 310 разів, перш ніж її оперативно прибрали.

Головне:

  • Заражена версія основного TypeScript‑SDK Injective під час звичної роботи копіювала seed-фрази та приватні ключі гаманців.
  • Шкідливий реліз розповсюдився через 18 пакетів, був завантажений 310 разів і залишався доступним менш ніж годину.
  • Дослідники наполягають: усі ключі, що проходили через вразливі версії, слід вважати скомпрометованими.

Як працював бекдор у SDK Injective

Компанія з кібербезпеки Socket повідомила у четвер, що версію 1.20.21 пакета @injectivelabs/sdk-ts в екосистемі npm було змінено через зламаний акаунт контриб’ютора на GitHub. Цей SDK є базовим модулем для гаманців, бірж і трейдингових ботів у мережі Injective — блокчейні першого рівня, орієнтованому на децентралізовані фінанси.

Шкідливий код маскувався під безпечну аналітику використання й «підчіплявся» до функцій, які перетворюють seed-фразу або «сирий» приватний ключ на робочий підписувальний ключ. Кожного разу, коли застосунок викликав ці функції, бекдор непомітно фіксував секретні дані, накопичував їх протягом двох секунд і відправляв на сервер, замаскований під легітимну інфраструктуру Injective. Викрадені ключі передавалися всередині заголовка HTTP‑запита, що дозволяло їм губитися в потоці звичайного трафіку.

Автоматична публікація рознесла таку саму отруєну версію ще по 17 пов’язаних пакетах за лічені хвилини після першого шкідливого коміту, розширивши коло постраждалих до команд, які взагалі не встановлювали основний SDK напряму.

Аналіз змін у репозиторії показав, що шкідливий код активували 8 липня й вилучили менш ніж за годину, після чого швидко вийшла «чиста» версія 1.20.23.

CEO Injective Ерік Чен заявив, що проблему вже усунули й кошти в мережі не перебувають під загрозою. Водночас скомпрометовану версію на npm лише позначили як застарілу (deprecated), але не видалили, тож вона формально залишалася доступною для завантаження. Артефакти зібрання з бекдором на момент розкриття також були присутні на GitHub.

Читайте також: Момент ETF для Solana стає дедалі очевиднішим після нової заявки Bitwise

Чому мішенню стали ключі криптогаманців

Дослідники назвали інцидент «критичним для розробників та застосунків, що працюють із гаманцями Injective», хоча й не уточнили, чи були зафіксовані реальні крадіжки активів. Командам радять вважати скомпрометованими всі ключі та мнемоніки, які хоч раз пройшли через уражені версії SDK, терміново вивести кошти на нові гаманці й повністю оновити всі секрети у своїх середовищах.

Подібні атаки не б’ють по самій криптографії блокчейна. Зловмисники натомість отруюють довірені інструменти, якими користуються розробники, перетворюючи один підконтрольний акаунт у розповсюджувача шкідливого коду, що здатен непомітно дістатися до тисяч залежних застосунків.

Лише цей скомпрометований SDK, за оцінками аналітиків, має 87 прямих залежностей серед інших npm‑пакетів, як повідомляє галузеве видання.

Інцидент завершує важкий період для open-source інструментів у криптосекторі. У березні від подібної підміни постраждали релізи Axios в npm, а у травні на крипто- та DeFi‑розробників полювала кампанія TrapDoor. За даними CertiK, яка оцінює ризики у своєму піврічному звіті, злами гаманців стали найдорожчим вектором атак у першій половині 2026 року: загальні втрати сягнули $444 млн у 33 інцидентах.

Читайте далі: Grok 4.5 кидає виклик OpenAI та Anthropic, пропонуючи дешевший «агентний» AI

Відмова від відповідальності та попередження про ризики: Інформація, надана в цій статті, призначена лише для освітніх та інформаційних цілей і базується на думці автора. Вона не є фінансовою, інвестиційною, правовою чи податковою консультацією. Криптоактиви є надзвичайно волатильними та піддаються високому ризику, включаючи ризик втрати всіх або значної частини ваших інвестицій. Торгівля або утримання криптоактивів може не підходити для всіх інвесторів. Думки, висловлені в цій статті, належать виключно автору(ам) і не представляють офіційну політику чи позицію Yellow, її засновників або керівників. Завжди проводьте власне ретельне дослідження (D.Y.O.R.) та консультуйтесь з ліцензованим фінансовим фахівцем перед прийняттям будь-яких інвестиційних рішень.
Останні новини
Показати всі новини
Схожі новини
Схожі дослідницькі статті
Схожі навчальні матеріали
Хакери зламали SDK Injective із 50 000 завантажень, щоб викрадати seed-фрази розробників | Yellow.com