Хакеры внедрили вредоносное ПО для кражи кошельков в официальный пакет разработчика Injective (INJ), который в среднем скачивают 50 000 раз в неделю, и зараженный релиз был загружен 310 раз до быстрой очистки.
Компания по кибербезопасности Socket раскрыла в четверг, что версия 1.20.21 пакета @injectivelabs/sdk-ts на npm была изменена через взломанный аккаунт участника на GitHub. Этот набор является основным строительным блоком для кошельков, бирж и торговых ботов на Injective, блокчейне первого уровня, предназначенном для децентрализованных финансов.
Вредоносный код маскировался под безобидную аналитику использования и перехватывал функции, которые преобразуют мнемоническую фразу или необработанный закрытый ключ в используемый ключ подписи. Каждый раз, когда приложение вызывало их, оно тихо записывало секреты, накапливало их в течение двух секунд и отправляло на сервер, замаскированный под легитимную инфраструктуру Injective. Украденные данные передавались внутри заголовка запроса, позволяя им сливаться с обычным трафиком.
Автоматизированная публикация распространила ту же отравленную версию на 17 связанных пакетов в течение нескольких минут после первого вредоносного коммита, расширив воздействие на команды, которые никогда не устанавливали этот набор напрямую.
Анализ на уровне коммитов показал, что полезная нагрузка стала активной 8 июля и была удалена менее чем за час, вскоре после чего последовала чистая версия 1.20.23.
Генеральный директор Injective Эрик Чен, как сообщается, заявил, что проблема уже исправлена и средства в сети не находятся под угрозой. Тем не менее, компрометированный релиз был только помечен как устаревший на npm, а не удален, оставаясь доступным для скачивания. Артефакты от зараженной сборки также оставались на GitHub на момент раскрытия информации.
Также читайте: Момент ETF для Solana становится все труднее игнорировать после новой подачи Bitwise
Исследователи описали компрометацию как «значительную для разработчиков и приложений, обрабатывающих рабочие процессы кошельков Injective», хотя они не уточнили, были ли украдены какие-либо активы. Командам было рекомендовано считать любой ключ или мнемоническую фразу, которые контактировали с затронутыми версиями, компрометированными, перевести средства на новые кошельки и заменить все секреты в своих средах.
Атаки такого рода никогда не затрагивают криптографию блокчейна. Вместо этого злоумышленники отравляют доверенные инструменты, на которые полагаются разработчики, превращая одну взломанную учетную запись в канал распространения, который может тихо достигать тысяч downstream-приложений.
Сам по себе компрометированный набор имеет 87 других пакетов npm среди своих прямых зависимостей, сообщили аналитики.
Этот инцидент завершает тяжелый период для инструментов криптографии с открытым исходным кодом, последовавший за аналогичной компрометацией релизов Axios npm в марте и кампанией вредоносного ПО TrapDoor, которая поразила разработчиков крипто и DeFi в мае. CertiK назвал компрометацию кошельков самым дорогостоящим вектором атак первой половины 2026 года, с украденными 444 миллионами долларов в ходе 33 инцидентов.
Читать далее: Grok 4.5 бросает вызов OpenAI и Anthropic с более дешевым агентным ИИ


