Злонамеренное обновление пакета разработчика Injective раскрыло закрытые ключи и сид-фразы после более чем 300 загрузок, как выяснила компания Socket.
По данным компании по кибербезопасности Socket, версия 1.20.21 npm-пакета @injectivelabs/sdk-ts, который имеет около 50 000 еженедельных загрузок, была изменена после взлома аккаунта разработчика на GitHub. Подозрительные коммиты начались 8 июня, а злонамеренный релиз позже был закреплен в 17 других пакетах в пространстве имен npm Injective Labs.
Компания по безопасности заявила, что код перехватывал функции генерации ключей кошелька, записывал закрытые ключи и фразы восстановления, затем кодировал данные и отправлял их через поддельную телеметрию на веб-адрес, имитирующий сервер Injective.
«Любые ключи или мнемонические фразы, прошедшие через затронутые пакеты, следует считать скомпрометированными», — заявила Socket, предупредив, что приложения могли быть подвержены риску, даже если они не устанавливали SDK напрямую.
Хотя скомпрометированный разработчик быстро обнаружил вторжение, а злонамеренная версия пакета была удалена, Socket сообщила, что кампания еще не полностью локализована.
Генеральный директор Injective Эрик Чен заявил, что затронутые релизы npm были объявлены устаревшими, а проблема исправлена. Чен добавил, что средства в сети Injective не находятся под угрозой, тогда как Socket не сообщила, привело ли вредоносное ПО к краже активов.
Вместо атаки на криптографию блокчейна или смарт-контракты операция была направлена на программное обеспечение, которое разработчики используют для создания кошельков, бирж и приложений. Security Alliance в своем отчете об угрозах за второй квартал заявила, что злоумышленники все чаще используют такие платформы, как GitHub, npm и Google, для распространения вредоносного ПО.
В некоторых случаях, по словам SEAL, скомпрометированные машины использовались для внедрения злонамеренного кода в собственные репозитории GitHub компаний, позволяя одному взлому стать каналом для дальнейшего распространения. В отчете также упоминается рост числа межплатформенных пакетов вредоносного ПО, сочетающих инфостилеры, трояны удаленного доступа и бэкдоры, включая увеличение кампаний, нацеленных на macOS.
Релизы npm Axios подверглись аналогичной атаке на цепочку поставок в марте, а кампания TrapDoor, обнаруженная в мае, была нацелена на разработчиков, работающих в сферах криптовалют, DeFi, искусственного интеллекта и безопасности. GitHub также раскрыл несанкционированный доступ к внутренним репозиториям 20 мая после компрометации устройства сотрудника.
Компрометация кошельков стала самым дорогостоящим методом криптоатак в первой половине 2026 года, составив 444 млн $ украденных средств в 33 случаях, согласно данным CertiK.
Injective, совместимый слой 1 для приложений DeFi, увидел падение общей заблокированной стоимости (TVL) на 88% с пика в середине 2024 года в 71 млн $ до 8,2 млн $, показывают данные DefiLlama. Ранее в этом году члены сообщества одобрили IIP-617, ускоряя сокращение новой эмиссии INJ при сохранении существующего сжигания токенов.


