Ondsinnet Oppdatering av Injective SDK
En ondsinnet oppdatering av Injective SDK har eksponert private nøkler og frøfraser etter å ha blitt lastet ned mer enn 300 ganger, ifølge sikkerhetsfirmaet Socket. Versjon 1.20.21 av npm-pakken, som har omtrent 50 000 ukentlige nedlastinger, ble endret etter at en utviklers GitHub-konto ble kompromittert.
Kompromittering og Mistenkelige Aktiviteter
Mistenkelige commits begynte 8. juni, og den ondsinnede utgivelsen ble senere knyttet til 17 andre pakker under Injective Labs npm-scope. Sikkerhetsfirmaet rapporterte at koden avlyttet funksjoner for generering av lommeboknøkler, registrerte private nøkler og gjenopprettingsfraser, og deretter kodet dataene og sendte dem gjennom falsk telemetri til en nettadresse som var laget for å ligne en Injective-server.
«Alle nøkler eller mnemonics som ble sendt gjennom de berørte pakkene bør betraktes som kompromitterte,» sa Socket.
Socket advarte om at applikasjoner kan ha blitt utsatt selv om de ikke installerte SDK-en direkte. Selv om den kompromitterte utvikleren oppdaget inntrengingen raskt og den ondsinnede pakkeversjonen har blitt fjernet, sa Socket at kampanjen ikke var fullt ut kontrollert.
Reaksjoner fra Injective
Injective CEO Eric Chen uttalte at de berørte npm-utgivelsene hadde blitt avviklet og at problemet var løst. Chen la til at ingen midler på Injective-nettverket var i fare, mens Socket ikke rapporterte om at malware resulterte i stjålne eiendeler.
Trusselrapport og Økende Angrep
I stedet for å angripe en blokkjedes kryptografi eller smarte kontrakter, målrettet operasjonen programvaren som utviklere bruker til å bygge lommebøker, børser og applikasjoner. Security Alliance sa i sin trusselrapport for andre kvartal at angripere i økende grad har brukt plattformer som GitHub, npm og Google for å distribuere malware.
I noen tilfeller, sa SEAL, har kompromitterte maskiner blitt brukt til å presse ondsinnet kode inn i et selskaps egne GitHub-repositorier, noe som tillater ett brudd å bli en kanal for videre distribusjon. Rapporten nevnte også flere tverrplattform malware-pakker som kombinerer infostealers, fjernadgangstrojanere og bakdører, inkludert en økning i kampanjer rettet mot macOS.
Historiske Angrep og Økonomiske Tap
Axios npm-utgivelser ble rammet av et lignende forsyningskjedeangrep i mars, mens TrapDoor-kampanjen, som ble oppdaget i mai, målrettet utviklere som jobbet med krypto, DeFi, kunstig intelligens og sikkerhet. GitHub avslørte også uautorisert tilgang til interne repositorier 20. mai etter at en ansatt enhet ble kompromittert.
Kompromitteringer av lommebøker var den dyreste kryptovaluta-angrepsmetoden i første halvdel av 2026, og utgjorde $444 millioner stjålet over 33 saker, ifølge CertiK. Injective, et interoperabelt lag 1 for DeFi-applikasjoner, har sett sin totale verdi låst falle med 88 % fra en topp i midten av 2024 på $71 millioner til $8,2 millioner, ifølge data fra DefiLlama.
Tidligere i år godkjente samfunnsmedlemmer IIP-617, som akselererte reduksjoner i ny INJ-utstedelse samtidig som eksisterende token-brenning ble opprettholdt.