
ساکت (Socket) دریافته است که یک بهروزرسانی مخرب برای بسته توسعهدهنده اینجکتیو (Injective) پس از دانلود شدن بیش از 300 بار، کلیدهای خصوصی و عبارات بازیابی را افشا کرده است.
به گفته شرکت امنیتی ساکت، نسخه 1.20.21 بسته npm با نام @injectivelabs/sdk-ts، که حدود 50,000 دانلود هفتگی دارد، پس از به خطر افتادن حساب گیتهاب یک توسعهدهنده، تغییر یافته است. کامیتهای مشکوک از 8 ژوئن آغاز شد و انتشار مخرب متعاقباً در 17 بسته دیگر تحت حوزه npm شرکت Injective Labs پین (مرتبط) شد.
این شرکت امنیتی گفت که کد، توابع تولید کلید کیف پول را رهگیری کرده، کلیدهای خصوصی و عبارات بازیابی را ثبت نموده، سپس دادهها را کدگذاری کرده و از طریق تلهمتری جعلی به یک آدرس وب که شبیه به سرور Injective ساخته شده بود، ارسال کرده است.
ساکت هشدار داد: "هر کلید یا mnemonic (عبارت بازیابی) که از طریق بستههای آسیبدیده عبور کرده باشد، باید به عنوان به خطر افتاده تلقی شود." و افزود که حتی اگر برنامهها SDK را مستقیماً نصب نکرده باشند، ممکن است در معرض خطر قرار گرفته باشند.
اگرچه توسعهدهنده آسیبدیده به سرعت نفوذ را شناسایی کرد و نسخه مخرب بسته حذف شد، ساکت اظهار داشت که این کمپین هنوز به طور کامل مهار نشده است.
اریک چن، مدیرعامل Injective، گفت که انتشارات npm آسیبدیده منسوخ شدهاند و مشکل برطرف شده است. چن افزود که هیچ بودجهای در شبکه Injective در معرض خطر نبوده است، در حالی که ساکت گزارشی درباره اینکه آیا بدافزار منجر به سرقت دارایی شده است، ارائه نکرد.
این عملیات به جای حمله به رمزنگاری بلاکچین یا قراردادهای هوشمند آن، نرمافزارهایی را هدف قرار داد که توسعهدهندگان برای ساخت کیف پولها، صرافیها و برنامهها استفاده میکنند. اتحاد امنیتی (The Security Alliance) در گزارش تهدید سهماهه دوم خود گفت که مهاجمان به طور فزایندهای از پلتفرمهایی از جمله گیتهاب، npm و گوگل برای توزیع بدافزار استفاده کردهاند.
در برخی موارد، SEAL گفت، از ماشینهای به خطر افتاده برای قرار دادن کدهای مخرب در مخازن گیتهاب خود یک شرکت استفاده شده است، که به یک نقض امنیتی اجازه میدهد به کانالی برای توزیع بیشتر تبدیل شود. این گزارش همچنین به بستههای بدافزاری بینپلتفرمی بیشتر اشاره کرد که ترکیبی از سارقین اطلاعات، تروجانهای دسترسی از راه دور و بکدورها را شامل میشوند، از جمله افزایش کمپینهای هدفگذاری شده برای macOS.
انتشارات npm مربوط به Axios در ماه مارس مورد حمله زنجیره تأمین مشابهی قرار گرفتند، در حالی که کمپین TrapDoor که در ماه مه کشف شد، توسعهدهندگان فعال در حوزه کریپتو، دیفای، هوش مصنوعی و امنیت را هدف قرار داد. گیتهاب همچنین در 20 مه پس از به خطر افتادن دستگاه یکی از کارمندان، دسترسی غیرمجاز به مخازن داخلی را افشا کرد.
به گفته CertiK، به خطر افتادن کیف پولها پرهزینهترین روش حمله کریپتو در نیمه اول سال 2026 بود که 444 میلیون دلار سرقت را در 33 مورد به خود اختصاص داد.
Injective، یک لایه 1 تعاملی برای برنامههای دیفای، شاهد کاهش 88 درصدی کل ارزش قفل شده (TVL) خود از اوج 71 میلیون دلاری در اواسط سال 2024 به 8.2 میلیون دلار بوده است، طبق دادههای DefiLlama. اوایل سال جاری، اعضای جامعه IIP-617 را تأیید کردند که کاهش در انتشار جدید INJ را تسریع میکند در حالی که سوزاندن توکنهای موجود را حفظ مینماید.