Hacker đã cài mã độc đánh cắp ví vào gói Injective (INJ) chính thức trên npm, vốn có trung bình 50.000 lượt tải mỗi tuần. Bản phát hành bị nhiễm độc đã bị tải 310 lần trước khi hệ thống được dọn dẹp khẩn cấp.
Các điểm chính
- Một bản SDK TypeScript chính của Injective đã bị cài cửa hậu, âm thầm sao chép seed phrase và khóa riêng ví trong quá trình sử dụng bình thường.
- Bản phát hành độc hại lan sang 18 gói, được tải 310 lần và chỉ tồn tại chưa đầy một giờ trước khi bị thay thế.
- Các nhà nghiên cứu khuyến cáo mọi khóa từng đi qua các phiên bản bị ảnh hưởng phải được coi là đã bị lộ.
Chi tiết cửa hậu trong SDK Injective
Công ty an ninh mạng Socket công bố hôm thứ Năm rằng phiên bản 1.20.21 của gói @injectivelabs/sdk-ts trên npm đã bị chỉnh sửa thông qua một tài khoản cộng tác viên trên GitHub bị chiếm quyền. SDK này là thành phần lõi cho ví, sàn giao dịch và bot giao dịch trên Injective, một blockchain layer-1 phục vụ tài chính phi tập trung (DeFi).
Đoạn mã độc cải trang thành chức năng phân tích hành vi người dùng vô hại, móc vào các hàm chuyển đổi seed phrase hoặc khóa riêng thô thành khóa ký giao dịch. Mỗi lần ứng dụng gọi các hàm này, nó lặng lẽ ghi lại bí mật, gom batch trong 2 giây rồi gửi tới một máy chủ được ngụy trang trông như hạ tầng chính thức của Injective. Dữ liệu bị đánh cắp được nhúng trong phần header của yêu cầu HTTP, giúp lẫn vào luồng truy cập bình thường.
Quy trình xuất bản tự động đã đẩy cùng phiên bản nhiễm độc này sang thêm 17 gói liên quan chỉ trong vài phút sau commit độc hại đầu tiên, mở rộng vùng ảnh hưởng sang cả những nhóm chưa từng cài trực tiếp SDK gốc.
Phân tích ở cấp độ commit cho thấy payload được kích hoạt ngày 8/7 và bị rút lại trong chưa đầy một giờ, với bản sạch 1.20.23 được phát hành ngay sau đó.
CEO Injective Eric Chen được dẫn lời cho biết sự cố đã được khắc phục và tài sản trên mạng lưới không bị đe dọa. Tuy vậy, bản phát hành bị nhiễm chỉ được đánh dấu “deprecated” trên npm chứ không bị xóa hẳn, nghĩa là vẫn có thể tải xuống. Các artefact từ bản build nhiễm độc cũng vẫn còn trên GitHub tại thời điểm được công bố.
Đọc thêm: Thời khắc ETF của Solana ngày càng khó bị phớt lờ sau hồ sơ mới từ Bitwise
Vì sao khóa ví crypto trở thành mục tiêu
Các nhà nghiên cứu mô tả vụ việc là “rất nghiêm trọng với nhà phát triển và ứng dụng xử lý luồng ví Injective”, dù chưa nêu rõ liệu đã có tài sản bị đánh cắp hay chưa. Các đội ngũ được khuyến cáo coi mọi khóa hoặc mnemonic từng đi qua các phiên bản bị ảnh hưởng là đã lộ, chuyển toàn bộ tài sản sang ví mới và xoay vòng tất cả bí mật trong hệ thống.
Những cuộc tấn công dạng này không đụng tới lớp mật mã của blockchain. Thay vào đó, kẻ xâm nhập đầu độc chính công cụ mà nhà phát triển tin tưởng, biến một tài khoản bị chiếm quyền thành kênh phân phối âm thầm lan tới hàng nghìn ứng dụng hạ nguồn.
Riêng bộ SDK bị xâm phạm đã có 87 gói npm khác phụ thuộc trực tiếp, theo báo cáo của các nhà phân tích cho biết.
Sự cố này khép lại một giai đoạn đầy sóng gió với hệ sinh thái công cụ mã nguồn mở cho crypto, sau vụ phát hành npm của Axios bị cài cửa hậu hồi tháng 3 và chiến dịch malware TrapDoor nhắm vào nhà phát triển crypto và DeFi trong tháng 5. CertiK xếp hạng các vụ xâm phạm ví là kênh tấn công gây thiệt hại nặng nề nhất nửa đầu 2026, với 444 triệu USD bị đánh cắp qua 33 vụ.
Bài tiếp theo: Grok 4.5 thách thức OpenAI và Anthropic với AI agentic giá rẻ hơn





