SDK Injective подвергся атаке на цепочку поставок: вредоносный пакет npm мог похищать ключи криптокошельков

Сводка рынка от ИИ
Сообщается, что компрометация цепочки поставок пакета Injective npm SDK позволила вредоносному ПО эксфильтрировать сид-фразы кошельков и приватные ключи, что немедленно повысило контрагентский и операционный риск для пользователей и разработчиков, интегрирующих библиотеку. Хотя вредоносный релиз был удалён, любые раскрытые учётные данные следует считать скомпрометированными, что может привести к принудительной ротации ключей, затратам на реагирование на инциденты и краткосрочному ухудшению доверия в экосистеме Injective и связанном DeFi-инструментарии.
Степень влияния
● Средний
Затронутые активы
INJ/USDT+0.99%
Инсайт ИИ · INJ/USDTИнсайт ИИ
▼ Медвежий
Торговать
⚠️ Инсайты, сгенерированные ИИ, основаны на новостном контенте и предоставляются исключительно в информационных целях. Они не являются инвестиционной рекомендацией и не отражают позицию BingX. Торговля сопряжена с риском. Пожалуйста, торгуйте ответственно.
Разработчики и пользователи экосистемы Injective (@Injective) столкнулись с атакой на цепочку поставок: злоумышленники внедрили вредоносный код в широко используемый пакет npm, входящий в SDK. Об этом сообщила компания по кибербезопасности Socket. По данным Socket, атакующие сначала получили доступ к GitHub-аккаунту одного из разработчиков, после чего внесли изменения в пакет и опубликовали скомпрометированный релиз. Вредоносное ПО скрытно перехватывало seed-фразы и передавало их через поддельный сервер телеметрии, что могло привести к компрометации приватных ключей криптокошельков. Скомпрометированная версия пакета уже удалена. Пользователям, которые могли установить затронутый релиз, рекомендуется считать соответствующие приватные ключи и seed-фразы скомпрометированными.