注入软件包遭到恶意供应链攻击 – 详细信息

软件供应链攻击变得越来越普遍,攻击者越来越多地针对受信任的开发人员工具而不是最终用户。

在最新事件中,攻击者破坏了受信任的 Injective Labs 软件包,窃取了开发者的钱包凭证。

注入软件包遭到恶意供应链攻击 - 详细信息 来源:套接字

Injective SDK 攻击是如何展开的?

攻击者将 TypeScript SDK 的恶意版本 @injectivelabs/sdk-ts v1.20.21 上传到 npm。该软件包旨在构建 Injective 应用程序、创建钱包和签署交易。

<风格> @media only 屏幕和(最小宽度:0px)和(最小高度:0px){ div[id^=”bsa-zone_1774359638628-7_123456″] { 最小高度:50px; 过渡:最小高度 0.3 秒缓和; } } @media only 屏幕和(最小宽度:640px)和(最小高度:0px){ div[id^=”bsa-zone_1774359638628-7_123456″] { 最小高度:90px; } } <按钮 onclick=” var el = document.getElementById(‘amb-ad-inline-content’); el.style.maxHeight = el.scrollHeight + ‘px’; requestAnimationFrame(function() { el.style.maxHeight = ‘0’; el.style.marginTop = ‘0’; el.style.marginBottom = ‘0’; }); “>AD <矩形宽度=“10”高度=“10”rx=“5”填充=“当前颜色”/><路径填充=“#000000”d=“M6.883 6.317a.4.4 0 1 1-.566.566L5 5.566 3.683 6.883a.4.4 0 1 1-.566-.566L4.434 5 3.117 3.683a.4.4 0 1 1 .566-.566L5 4.434l1.317-1.317a.4.4 0 1 1 .566.566L5.566 5z” />

攻击者随后获得了合法 Injective Labs 贡献者的 GitHub 帐户的访问权限并分发了恶意提交。一个测试分支被命名为“test-backdoor-check”。

攻击者以遥测为幌子,将受感染的软件包发布到 npm。

恶意软件没有收集使用数据,而是提取私钥和助记词种子短语。这为攻击者提供了重建和夺取受害者的加密钱包所需的一切。

最重要的是,妥协通过依赖于 SDK 的 17 个附加 Injective 包中的传递依赖项进行传播。

导致违规的漏洞

恶意代码在安装过程中保持非活动状态,从而帮助其逃避检测。

相反,它仅在开发人员使用 fromMnemonic 或 fromHex 钱包生成函数时执行。

每周大约有 50,000 次受感染软件包的下载。至少 87 个其他软件包也直接依赖于它。

攻击者还发布了 17 个附加到受感染 SDK 版本的注入包,扩大了攻击范围。

注入软件包遭到恶意供应链攻击 - 详细信息 来源:套接字

还有什么? 

不久之后,就推出了干净版本 v1.20.23。但是,受感染的版本仍然可以在 npm 上作为已弃用的软件包获得,并且其发布工件仍然可以在 GitHub 上获得。

因此,为了避免进一步发生此类事件,用户应轮换所有受影响的凭据、创建新钱包并转移资金。

与此同时,BonkDAO 由于“恶意治理提案”而损失了 2000 万美元,使他们成为加密货币黑客攻击的最新受害者。

<小时>

最终最终摘要

  • 不法分子获得了合法 Injective Labs 贡献者 GitHub 帐户的访问权限,并用它来分发恶意提交。
  • 由于 17 个额外的单射包中的传递依赖性,开发人员容易受到攻击。 

免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。

本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复

(0)
链答报道的头像链答报道
上一篇 2026年 7月 10日 下午11:16
下一篇 2026年 7月 10日

相关推荐