
اكتشفت شركة Socket أن تحديثًا ضارًا لحزمة مطوري Injective قد كشف عن المفاتيح الخاصة وعبارات الاسترداد (seed phrases) بعد تنزيله أكثر من 300 مرة.
وفقًا لشركة الأمن Socket، تم تعديل الإصدار 1.20.21 من حزمة npm @injectivelabs/sdk-ts، التي يتم تنزيلها حوالي 50 ألف مرة أسبوعيًا، بعد اختراق حساب أحد المطورين على GitHub. بدأت التعديلات المشبوهة في 8 يونيو، وتم بعد ذلك تثبيت الإصدار الضار عبر 17 حزمة أخرى ضمن نطاق Injective Labs npm.
صرحت شركة الأمن أن الكود اعترض وظائف إنشاء مفاتيح المحفظة، وسجل المفاتيح الخاصة وعبارات الاسترداد، ثم قام بتشفير البيانات وإرسالها عبر قياس عن بعد مزيف إلى عنوان ويب مصمم ليبدو وكأنه خادم Injective.
وقالت Socket: "يجب اعتبار أي مفاتيح أو عبارات استرداد (mnemonics) تم تمريرها عبر الحزم المتأثرة مخترقة"، محذرة من أن التطبيقات ربما تعرضت للخطر حتى لو لم تقم بتثبيت SDK مباشرة.
على الرغم من أن المطور الذي تم اختراق حسابه اكتشف الاختراق بسرعة وتمت إزالة إصدار الحزمة الضارة، إلا أن Socket قالت إن الحملة لم يتم احتواؤها بالكامل بعد.
قال إريك تشين، الرئيس التنفيذي لشركة Injective، إنه تم إيقاف إصدارات npm المتأثرة وتم إصلاح المشكلة. وأضاف تشين أنه لا توجد أموال على شبكة Injective في خطر، بينما لم تبلغ Socket عما إذا كان البرنامج الضار قد أدى إلى سرقة أصول.
بدلاً من مهاجمة تشفير البلوك تشين أو العقود الذكية، استهدفت العملية البرامج التي يستخدمها المطورون لبناء المحافظ والبورصات والتطبيقات. وقالت Security Alliance في تقريرها عن التهديدات للربع الثاني إن المهاجمين استخدموا بشكل متزايد منصات مثل GitHub و npm و Google لتوزيع البرامج الضارة.
وفي بعض الحوادث، قالت SEAL، تم استخدام أجهزة مخترقة لدفع تعليمات برمجية ضارة إلى مستودعات GitHub الخاصة بالشركة، مما سمح لاختراق واحد بأن يصبح قناة لمزيد من التوزيع. كما أشار التقرير إلى المزيد من حزم البرامج الضارة متعددة المنصات التي تجمع بين برامج سرقة المعلومات وأحصنة طروادة للوصول عن بعد والأبواب الخلفية، بما في ذلك زيادة في الحملات التي تستهدف macOS.
تعرضت إصدارات Axios npm لهجوم سلسلة توريد مماثل في مارس، بينما استهدفت حملة TrapDoor التي تم اكتشافها في مايو المطورين العاملين في مجالات العملات المشفرة، والتمويل اللامركزي (DeFi)، والذكاء الاصطناعي، والأمن. كما كشفت GitHub عن وصول غير مصرح به إلى مستودعاتها الداخلية في 20 مايو بعد اختراق جهاز موظف.
كانت عمليات اختراق المحافظ هي الطريقة الأكثر تكلفة لهجمات العملات المشفرة في النصف الأول من عام 2026، حيث بلغت 444 مليون دولار مسروقة عبر 33 حالة، وفقًا لـ CertiK.
شهدت Injective، وهي طبقة أولى قابلة للتشغيل البيني لتطبيقات التمويل اللامركزي (DeFi)، انخفاضًا في إجمالي القيمة المقفلة بنسبة 88% من ذروتها في منتصف عام 2024 البالغة 71 مليون دولار إلى 8.2 مليون دولار، حسب بيانات DefiLlama. وفي وقت سابق من هذا العام، وافق أعضاء المجتمع على IIP-617، مما أدى إلى تسريع التخفيضات في إصدار INJ الجديد مع الاحتفاظ بحرق الرموز الحالي.