Pahantahtoinen päivitys Injective-kehittäjäpakettiin
Injective-kehittäjäpakettiin on paljastunut pahantahtoinen päivitys, joka on vuotanut yksityiset avaimet ja siemenlauseet. Tämä tapahtui sen jälkeen, kun paketti ladattiin yli 300 kertaa, kertoo Socket.
Turvayrityksen mukaan npm-paketin versio 1.20.21, jolla on noin 50 000 viikoittaista latausta, oli muutettu kehittäjän GitHub-tilin kompromettoimisen jälkeen. Epäilyttävät sitoumukset alkoivat 8. kesäkuuta, ja pahantahtoinen julkaisu pinottiin myöhemmin 17 muuhun pakettiin Injective Labsin npm-skaalalla.
Koodin haitalliset toiminnot
Socket kertoi, että koodi keskeytti lompakkovaluuttojen generointifunktioita, tallensi yksityiset avaimet ja palautuslauseet, koodasi tiedot ja lähetti ne väärän telemetrian kautta verkkosoitteeseen, joka näytti olevan Injective-palvelimelta.
”Kaikkia avaimia tai muistisääntöjä, jotka kulkevat vaikuttavien pakettien läpi, tulisi pitää kompromettoituneina,” Socket varoitti.
Vaikka kompromettoitu kehittäjä havaitsi tunkeutumisen nopeasti ja pahantahtoinen pakettiversio on poistettu, Socket totesi, että kampanjaa ei ollut vielä täysin hallittu. Injectiven toimitusjohtaja Eric Chen kertoi, että vaikuttavat npm-julkaisut oli poistettu käytöstä ja ongelma oli korjattu.
Riski ja seuraukset
Chen lisäsi, että Injective-verkossa ei ollut riskiä varoille, kun taas Socket ei raportoinut, johtuiko haittaohjelma varastetuista varoista. Hyökkäys ei kohdistunut lohkoketjun salaukseen tai älysopimuksiin, vaan ohjelmistoon, jota kehittäjät käyttävät lompakoiden, pörssien ja sovellusten rakentamiseen.
Security Alliance mainitsi toisen neljänneksen uhkaraportissaan, että hyökkääjät ovat yhä enemmän käyttäneet alustoja, kuten GitHub, npm ja Google, levittääkseen haittaohjelmia. Joissakin tapauksissa SEAL kertoi, että kompromettoituja koneita on käytetty työntämään pahantahtoista koodia yrityksen omiin GitHub-repositorioihin, jolloin yksi rikkomus on voinut toimia kanavana lisälevitykselle.
Lisääntyvät uhkat
Raportissa mainittiin myös lisääntyvä määrä monialustaisia haittaohjelmapaketteja, jotka yhdistävät tietojen varastajia, etäkäyttö troijalaisia ja takaovia, mukaan lukien macOS:lle kohdistettujen kampanjoiden lisääntyminen. Axiosin npm-julkaisut kärsivät vastaavasta toimitusketjun hyökkäyksestä maaliskuussa, kun taas TrapDoor-kampanja, joka löydettiin toukokuussa, kohdistui kehittäjiin, jotka työskentelivät kryptovaluuttojen, DeFi:n, tekoälyn ja turvallisuuden parissa.
GitHub paljasti myös luvattoman pääsyn sisäisiin repositorioihin 20. toukokuuta sen jälkeen, kun työntekijän laite oli kompromettoitu. Lompakkokompromissit olivat kallein kryptohyökkäysmenetelmä vuoden 2026 ensimmäisellä puoliskolla, ja ne aiheuttivat 444 miljoonan dollarin varastamisen 33 tapauksessa, CertiK:n mukaan.
Injectiven tilanne
Injective, yhteensopiva kerros 1 DeFi-sovelluksille, on nähnyt kokonaisarvonsa lukituksen laskevan 88 % vuoden 2024 keskivaiheen 71 miljoonan dollarin huipusta 8,2 miljoonaan dollariin, DefiLlama-tiedot osoittavat. Aikaisemmin tänä vuonna yhteisön jäsenet hyväksyivät IIP-617, joka nopeutti uusien INJ-laskentojen vähentämistä samalla kun säilytti olemassa olevat token-poltot.