Хакери інтегрували шпигунське ПЗ для викрадення криптогаманців в офіційний дев-пакет Injective (INJ), який у середньому завантажують 50 000 разів на тиждень. Уражену збірку встигли завантажити 310 разів, перш ніж її оперативно замінили.
Головне:
- Заражена версія основного TypeScript SDK Injective перехоплювала seed-фрази та приватні ключі гаманців під час звичайного використання.
- Шкідливий реліз поширився на 18 пакетів, був завантажений 310 разів і залишався доступним менш ніж годину.
- Дослідники наголошують: усі ключі, що проходили через уражені версії, слід вважати компрометованими.
Як саме зашили бекдор в Injective SDK
Компанія з кібербезпеки Socket повідомила у четвер, що версія 1.20.21 пакета @injectivelabs/sdk-ts в npm була змінена через зламаний обліковий запис контриб’ютора в GitHub. Цей SDK є базовим модулем для гаманців, бірж і торгових ботів у мережі Injective — блокчейні першого рівня, орієнтованому на децентралізовані фінанси.
Шкідливий код маскувався під безпечну аналітику використання та «підчіплявся» до функцій, які перетворюють seed-фразу або «сирий» приватний ключ на робочий підписувальний ключ. Щоразу, коли застосунок викликав ці функції, код непомітно збирав секретні дані, групував їх протягом двох секунд і відправляв на сервер, замаскований під легітимну інфраструктуру Injective. Викрадені дані вкладалися в заголовок HTTP-запиту, що дозволяло їм губитися в потоці звичайного трафіку.
Автоматична система публікації поширила цю ж отруєну версію ще на 17 споріднених пакетів за лічені хвилини після першого шкідливого коміту, тим самим розширивши коло ризику на команди, які навіть напряму не встановлювали сам SDK.
Аналіз комітів показав, що шкідливий код став активним 8 липня й був прибраний менш ніж за годину, а вже скоро з’явилася очищена версія 1.20.23.
CEO Injective Ерік Чен заявив, що проблему вже усунули і коштам у мережі нічого не загрожує. Водночас компрометований реліз у npm лише позначили як застарілий (deprecated), але не видалили повністю, тож його все ще можна завантажити. Артефакти з інфікованої збірки також залишалися на GitHub на момент розкриття інциденту.
Читайте також: ETF на Solana стає дедалі важче ігнорувати після нової заявки Bitwise
Чому мішенню стали ключі від криптогаманців
Дослідники назвали цей інцидент «критичним для розробників і застосунків, що працюють із гаманцями Injective», однак не уточнили, чи були реальні втрати активів. Команди закликали вважати будь-який ключ чи мнемонічну фразу, що проходили через уражені версії, скомпрометованими, перевести кошти на нові гаманці та повністю оновити всі секрети у своїх середовищах.
Подібні атаки не ламають безпосередньо криптографію блокчейна. Зловмисники натомість отруюють інструменти, яким довіряють розробники, перетворюючи один зламаний акаунт на канал розповсюдження, що може непомітно дістатися до тисяч залежних застосунків.
Лише цей скомпрометований SDK має 87 інших npm-пакетів, які прямо від нього залежать, зазначають аналітики у своєму звіті.
Інцидент став черговим ударом по екосистемі open-source інструментів для криптосфери. До цього в березні аналогічно скомпрометували релізи бібліотеки Axios в npm, а в травні кампанія з розповсюдження шкідника TrapDoor націлилася на розробників у сегменті крипто та DeFi. CertiK у своєму огляді назвала компрометацію гаманців найдорожчим вектором атак у першій половині 2026 року: загальні втрати сягнули $444 млн у межах 33 інцидентів.
Читайте далі: Grok 4.5 кидає виклик OpenAI та Anthropic, пропонуючи дешевший агентний AI





