Хакеры скомпрометировали широко используемый программный пакет для блокчейна Injective и встроили в него код, ворующий приватные ключи криптокошельков. Атаку обнаружили и устранили в течение нескольких дней, но масштаб потенциального ущерба остаётся неясным — вредоносную версию успели скачать более 300 раз.
Инцидент выявила компания Socket, специализирующаяся на безопасности цепочек поставок программного обеспечения. По её данным, пакет @injectivelabs/sdk-ts в менеджере пакетов npm — сервисе для распространения кода на языке JavaScript — используют около 50 000 раз в неделю разработчики, создающие приложения на Injective. Из-за такого охвата аудитории исследователи Socket назвали инцидент значимым для всех, кто работает с кошельками на этом блокчейне.
Как подменили код
Версию 1.20.21 пакета изменили через взломанный аккаунт разработчика на GitHub — подозрительные изменения в коде начали появляться с 8 июня. Вредоносная правка также автоматически подтянулась ещё в 17 других пакетов внутри того же раздела Injective Labs на npm, из-за чего под угрозой оказались даже те, кто не устанавливал основной пакет напрямую.
По описанию Socket, вредоносный код перехватывал стандартные функции, которые генерируют ключи кошелька. Как только приложение разработчика вызывало такую функцию, код незаметно копировал seed-фразу или приватный ключ, шифровал их и отправлял на сервер, замаскированный под легитимный узел сети Injective.
«Любые ключи или мнемонические фразы, прошедшие через затронутые пакеты, следует считать скомпрометированными», — предупредили в Socket.
Реакция Injective
Разработчик, чей аккаунт взломали, быстро заметил подмену, однако вредоносную версию уже скачали свыше 300 раз, а сама атака, по оценке Socket, ещё не полностью локализована. Компания не уточнила, привёл ли инцидент к реальной краже средств пользователей.
Генеральный директор Injective Эрик Чен заявил, что проблема уже устранена, а поражённые версии пакета на npm сняты с публикации. По его словам, средства в сети Injective не находятся под угрозой.
Сам блокчейн Injective — это совместимая с другими сетями платформа первого уровня для децентрализованных финансов. Её популярность заметно снизилась за последние два года: по данным DefiLlama, общий объём средств, заблокированных в приложениях сети, упал на 88% — с пиковых $71 млн в середине 2024 года до текущих $8,2 млн.
Часть более широкой тенденции
Альянс безопасности Security Alliance (SEAL) в отчёте об угрозах за второй квартал отметил, что злоумышленники всё чаще используют доверенные платформы — GitHub, npm, сервисы Google — для доставки вредоносного кода. В некоторых случаях взломанные системы используют, чтобы напрямую внедрять вредоносный код в собственные репозитории компаний на GitHub, превращая одну успешную атаку в канал для распространения следующей.
По данным SEAL, само вредоносное ПО становится сложнее: злоумышленники всё чаще создают кроссплатформенные программы, включая атаки специально под операционную систему macOS, которые объединяют в одном пакете инструменты для кражи данных, трояны удалённого доступа и функции скрытого проникновения.
- В марте похожая атака затронула выпуски npm-пакетов проекта Axios.
- В мае обнаружили кампанию TrapDoor, нацеленную на разработчиков в сферах крипто, DeFi, искусственного интеллекта и информационной безопасности.
- 20 мая сам GitHub сообщил о несанкционированном доступе к внутренним репозиториям после взлома устройства одного из сотрудников.
Компрометация кошельков остаётся самым затратным типом атак в криптоиндустрии: по данным компании CertiK, в первой половине 2026 года из-за 33 подобных инцидентов было похищено $444 млн.