Злонамеренное обновление пакета разработчика Injective раскрыло закрытые ключи и сид-фразы после того, как его скачали более 300 раз, обнаружила Socket. СогласноЗлонамеренное обновление пакета разработчика Injective раскрыло закрытые ключи и сид-фразы после того, как его скачали более 300 раз, обнаружила Socket. Согласно

Скомпрометированный Injective SDK отправляет ключи кошелька через поддельную телеметрию

2026/07/10 13:43
3м. чтение
Для обратной связи или замечаний по поводу данного контента, свяжитесь с нами по адресу [email protected]

Злонамеренное обновление пакета разработчика Injective раскрыло закрытые ключи и сид-фразы после более чем 300 загрузок, как выяснила компания Socket.

Краткое содержание
  • Socket обнаружила, что взломанный npm-пакет Injective копировал закрытые ключи и сид-фразы через поддельную телеметрию.
  • Злонамеренная версия была загружена более 300 раз и распространялась через 17 связанных пакетов Injective Labs.
  • CertiK сообщила, что компрометация кошельков привела к убыткам в размере 444 млн $ в первой половине 2026 года.

По данным компании по кибербезопасности Socket, версия 1.20.21 npm-пакета @injectivelabs/sdk-ts, который имеет около 50 000 еженедельных загрузок, была изменена после взлома аккаунта разработчика на GitHub. Подозрительные коммиты начались 8 июня, а злонамеренный релиз позже был закреплен в 17 других пакетах в пространстве имен npm Injective Labs.

Компания по безопасности заявила, что код перехватывал функции генерации ключей кошелька, записывал закрытые ключи и фразы восстановления, затем кодировал данные и отправлял их через поддельную телеметрию на веб-адрес, имитирующий сервер Injective.

«Любые ключи или мнемонические фразы, прошедшие через затронутые пакеты, следует считать скомпрометированными», — заявила Socket, предупредив, что приложения могли быть подвержены риску, даже если они не устанавливали SDK напрямую.

Хотя скомпрометированный разработчик быстро обнаружил вторжение, а злонамеренная версия пакета была удалена, Socket сообщила, что кампания еще не полностью локализована.

Генеральный директор Injective Эрик Чен заявил, что затронутые релизы npm были объявлены устаревшими, а проблема исправлена. Чен добавил, что средства в сети Injective не находятся под угрозой, тогда как Socket не сообщила, привело ли вредоносное ПО к краже активов.

Разработчики становятся мишенью

Вместо атаки на криптографию блокчейна или смарт-контракты операция была направлена на программное обеспечение, которое разработчики используют для создания кошельков, бирж и приложений. Security Alliance в своем отчете об угрозах за второй квартал заявила, что злоумышленники все чаще используют такие платформы, как GitHub, npm и Google, для распространения вредоносного ПО.

В некоторых случаях, по словам SEAL, скомпрометированные машины использовались для внедрения злонамеренного кода в собственные репозитории GitHub компаний, позволяя одному взлому стать каналом для дальнейшего распространения. В отчете также упоминается рост числа межплатформенных пакетов вредоносного ПО, сочетающих инфостилеры, трояны удаленного доступа и бэкдоры, включая увеличение кампаний, нацеленных на macOS.

Релизы npm Axios подверглись аналогичной атаке на цепочку поставок в марте, а кампания TrapDoor, обнаруженная в мае, была нацелена на разработчиков, работающих в сферах криптовалют, DeFi, искусственного интеллекта и безопасности. GitHub также раскрыл несанкционированный доступ к внутренним репозиториям 20 мая после компрометации устройства сотрудника.

Компрометация кошельков стала самым дорогостоящим методом криптоатак в первой половине 2026 года, составив 444 млн $ украденных средств в 33 случаях, согласно данным CertiK.

Injective, совместимый слой 1 для приложений DeFi, увидел падение общей заблокированной стоимости (TVL) на 88% с пика в середине 2024 года в 71 млн $ до 8,2 млн $, показывают данные DefiLlama. Ранее в этом году члены сообщества одобрили IIP-617, ускоряя сокращение новой эмиссии INJ при сохранении существующего сжигания токенов.

Комбо Кубка мира: Цель на 200x

Комбо Кубка мира: Цель на 200xКомбо Кубка мира: Цель на 200x

До 20 комбо в матчах Кубка мира за 1 ордер

Отказ от ответственности: Статьи, размещенные на этом веб-сайте, взяты из общедоступных источников и предоставляются исключительно в информационных целях. Они не обязательно отражают точку зрения MEXC. Все права принадлежат первоисточникам. Если вы считаете, что какой-либо контент нарушает права третьих лиц, пожалуйста, обратитесь по адресу [email protected] для его удаления. MEXC не дает никаких гарантий в отношении точности, полноты или своевременности контента и не несет ответственности за любые действия, предпринятые на основе предоставленной информации. Контент не является финансовой, юридической или иной профессиональной консультацией и не должен рассматриваться как рекомендация или одобрение со стороны MEXC.

Вам также может быть интересно

Активируйте для привилегий

Активируйте для привилегийАктивируйте для привилегий

0 комиссий, премиум-поддержка и покрытие убытков.