Хакеры внедрили бэкдор в популярный пакет для Injective ради кражи ключей кошельков

Компания Socket обнаружила вредоносный код в npm-пакете @injectivelabs/sdk-ts, который тайно копировал приватные ключи и seed-фразы пользователей блокчейна Injective. Вредоносную версию скачали более 300 раз, прежде чем разработчики удалили код.

Хакеры внедрили бэкдор в популярный пакет для Injective ради кражи ключей кошельков

Хакеры скомпрометировали широко используемый программный пакет для блокчейна Injective и встроили в него код, ворующий приватные ключи криптокошельков. Атаку обнаружили и устранили в течение нескольких дней, но масштаб потенциального ущерба остаётся неясным — вредоносную версию успели скачать более 300 раз.

Инцидент выявила компания Socket, специализирующаяся на безопасности цепочек поставок программного обеспечения. По её данным, пакет @injectivelabs/sdk-ts в менеджере пакетов npm — сервисе для распространения кода на языке JavaScript — используют около 50 000 раз в неделю разработчики, создающие приложения на Injective. Из-за такого охвата аудитории исследователи Socket назвали инцидент значимым для всех, кто работает с кошельками на этом блокчейне.

Как подменили код

Версию 1.20.21 пакета изменили через взломанный аккаунт разработчика на GitHub — подозрительные изменения в коде начали появляться с 8 июня. Вредоносная правка также автоматически подтянулась ещё в 17 других пакетов внутри того же раздела Injective Labs на npm, из-за чего под угрозой оказались даже те, кто не устанавливал основной пакет напрямую.

По описанию Socket, вредоносный код перехватывал стандартные функции, которые генерируют ключи кошелька. Как только приложение разработчика вызывало такую функцию, код незаметно копировал seed-фразу или приватный ключ, шифровал их и отправлял на сервер, замаскированный под легитимный узел сети Injective.

«Любые ключи или мнемонические фразы, прошедшие через затронутые пакеты, следует считать скомпрометированными», — предупредили в Socket.

Реакция Injective

Разработчик, чей аккаунт взломали, быстро заметил подмену, однако вредоносную версию уже скачали свыше 300 раз, а сама атака, по оценке Socket, ещё не полностью локализована. Компания не уточнила, привёл ли инцидент к реальной краже средств пользователей.

Генеральный директор Injective Эрик Чен заявил, что проблема уже устранена, а поражённые версии пакета на npm сняты с публикации. По его словам, средства в сети Injective не находятся под угрозой.

Сам блокчейн Injective — это совместимая с другими сетями платформа первого уровня для децентрализованных финансов. Её популярность заметно снизилась за последние два года: по данным DefiLlama, общий объём средств, заблокированных в приложениях сети, упал на 88% — с пиковых $71 млн в середине 2024 года до текущих $8,2 млн.

Часть более широкой тенденции

Альянс безопасности Security Alliance (SEAL) в отчёте об угрозах за второй квартал отметил, что злоумышленники всё чаще используют доверенные платформы — GitHub, npm, сервисы Google — для доставки вредоносного кода. В некоторых случаях взломанные системы используют, чтобы напрямую внедрять вредоносный код в собственные репозитории компаний на GitHub, превращая одну успешную атаку в канал для распространения следующей.

По данным SEAL, само вредоносное ПО становится сложнее: злоумышленники всё чаще создают кроссплатформенные программы, включая атаки специально под операционную систему macOS, которые объединяют в одном пакете инструменты для кражи данных, трояны удалённого доступа и функции скрытого проникновения.

  • В марте похожая атака затронула выпуски npm-пакетов проекта Axios.
  • В мае обнаружили кампанию TrapDoor, нацеленную на разработчиков в сферах крипто, DeFi, искусственного интеллекта и информационной безопасности.
  • 20 мая сам GitHub сообщил о несанкционированном доступе к внутренним репозиториям после взлома устройства одного из сотрудников.

Компрометация кошельков остаётся самым затратным типом атак в криптоиндустрии: по данным компании CertiK, в первой половине 2026 года из-за 33 подобных инцидентов было похищено $444 млн.

0 комментариев
Написать
Комментариев пока нет.
Зарегистрируйтесь, чтобы оставлять комментарии