Атака на цепочку поставок SDK Injective затронула 87 зависимых пакетов в npm.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Обычное обновление библиотеки для работы с криптовалютными кошельками за 49 минут превратилось в ловушку, способную передать злоумышленникам полный контроль над средствами пользователей. В пакет <code> @injectivelabs/sdk-ts </code> для платформы Injective встроили код, который похищал фразы восстановления и закрытые ключи, когда пользователь создавал или загружал криптокошелек .
Вредоносный код появился 8 июля 2026 года в версии 1.20.21, опубликованной в каталоге npm. Пакет входит в официальный набор средств разработки Injective Labs и помогает приложениям создавать кошельки, подписывать операции и взаимодействовать с блокчейном Injective. По данным Datadog Security Labs , библиотеку загружают около 175 тыс. раз в месяц.
Злоумышленник замаскировал кражу данных под сбор обезличенной статистики. Добавленный модуль якобы измерял, как быстро создаются ключи и каким способом их получают, но на деле перехватывал фразу восстановления или закрытый ключ в момент обращения к функциям <code>PrivateKey.fromMnemonic()</code> и <code>PrivateKey.fromHex()</code>. Данные кодировались и отправлялись в заголовке <code>X-Request-Id</code> на сервер с адресом, похожим на обычный узел инфраструктуры Injective.
Вредоносная программа не запускалась сразу после установки. Код срабатывал только тогда, когда приложение действительно создавало или открывало кошелек. Такой подход снижал вероятность быстрого обнаружения и одновременно гарантировал, что перехваченные сведения позволят восстановить ключи и получить доступ к криптовалюте. Подробный разбор механизма опубликовала компания Socket .
Вредоносные изменения внесли напрямую в основную ветку официального хранилища от имени разработчика, который давно участвовал в проекте. Затем штатная система автоматической сборки сама подготовила и опубликовала зараженную версию в npm. Специалисты StepSecurity считают, что атакующие получили доступ к учетной записи доверенного сопровождающего проекта. Отдельный ключ для публикации пакетов им не понадобился.
Атака затронула не только основной набор средств разработки. Одновременно вышли версии 1.20.21 еще 17 пакетов Injective Labs, которые ссылались именно на зараженную библиотеку. Собственного вредоносного кода в них не было, однако при установке они автоматически загружали опасную зависимость. Компания OX Security насчитала 87 сторонних пакетов, зависящих от скомпрометированных компонентов.
Разработчики откатили изменения и выпустили чистую версию 1.20.23 примерно через 49 минут после появления зараженной сборки. Однако короткое время распространения не исключает ущерб. Socket зафиксировала не менее 310 загрузок вредоносной версии, а сохраненные копии могли остаться в промежуточных хранилищах и средах сборки.
Всем, кто устанавливал пакеты <code>@injectivelabs</code> версии 1.20.21, советуют перейти на 1.20.23 и проверить не только прямые, но и вложенные зависимости. Фразы восстановления и закрытые ключи, которые обрабатывались зараженным кодом, следует считать раскрытыми. Владельцам кошельков необходимо создать новые ключи и перевести средства на безопасные адреса.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Обычное обновление библиотеки для работы с криптовалютными кошельками за 49 минут превратилось в ловушку, способную передать злоумышленникам полный контроль над средствами пользователей. В пакет <code> @injectivelabs/sdk-ts </code> для платформы Injective встроили код, который похищал фразы восстановления и закрытые ключи, когда пользователь создавал или загружал криптокошелек .
Вредоносный код появился 8 июля 2026 года в версии 1.20.21, опубликованной в каталоге npm. Пакет входит в официальный набор средств разработки Injective Labs и помогает приложениям создавать кошельки, подписывать операции и взаимодействовать с блокчейном Injective. По данным Datadog Security Labs , библиотеку загружают около 175 тыс. раз в месяц.
Злоумышленник замаскировал кражу данных под сбор обезличенной статистики. Добавленный модуль якобы измерял, как быстро создаются ключи и каким способом их получают, но на деле перехватывал фразу восстановления или закрытый ключ в момент обращения к функциям <code>PrivateKey.fromMnemonic()</code> и <code>PrivateKey.fromHex()</code>. Данные кодировались и отправлялись в заголовке <code>X-Request-Id</code> на сервер с адресом, похожим на обычный узел инфраструктуры Injective.
Вредоносная программа не запускалась сразу после установки. Код срабатывал только тогда, когда приложение действительно создавало или открывало кошелек. Такой подход снижал вероятность быстрого обнаружения и одновременно гарантировал, что перехваченные сведения позволят восстановить ключи и получить доступ к криптовалюте. Подробный разбор механизма опубликовала компания Socket .
Вредоносные изменения внесли напрямую в основную ветку официального хранилища от имени разработчика, который давно участвовал в проекте. Затем штатная система автоматической сборки сама подготовила и опубликовала зараженную версию в npm. Специалисты StepSecurity считают, что атакующие получили доступ к учетной записи доверенного сопровождающего проекта. Отдельный ключ для публикации пакетов им не понадобился.
Атака затронула не только основной набор средств разработки. Одновременно вышли версии 1.20.21 еще 17 пакетов Injective Labs, которые ссылались именно на зараженную библиотеку. Собственного вредоносного кода в них не было, однако при установке они автоматически загружали опасную зависимость. Компания OX Security насчитала 87 сторонних пакетов, зависящих от скомпрометированных компонентов.
Разработчики откатили изменения и выпустили чистую версию 1.20.23 примерно через 49 минут после появления зараженной сборки. Однако короткое время распространения не исключает ущерб. Socket зафиксировала не менее 310 загрузок вредоносной версии, а сохраненные копии могли остаться в промежуточных хранилищах и средах сборки.
Всем, кто устанавливал пакеты <code>@injectivelabs</code> версии 1.20.21, советуют перейти на 1.20.23 и проверить не только прямые, но и вложенные зависимости. Фразы восстановления и закрытые ключи, которые обрабатывались зараженным кодом, следует считать раскрытыми. Владельцам кошельков необходимо создать новые ключи и перевести средства на безопасные адреса.
- Источник новости
- www.securitylab.ru