HackerNews

HackerNews
npm 上的 Injective SDK 被植入加密货币钱包窃取器

npm 上的 Injective SDK 被植入加密货币钱包窃取器

给文章评分:

黑客攻陷了 Injective Labs SDK 项目的 GitHub 仓库,并利用它向 Node Package Manager(npm)发布了一个恶意包,用于窃取加密货币钱包的私钥和助记词种子短语。
应用安全公司 Socket、Ox Security 和 StepSecurity 通过 npm 包 @injectivelabs/sdk-ts 的 1.20.21 版本检测到了此次供应链攻击。
Injective SDK 是一个 TypeScript/JavaScript 软件开发工具包(SDK),用于在 Injective 区块链上构建应用程序。Injective 是一条专注于去中心化金融(DeFi)、代币化资产和去中心化交易所的 Layer-1 区块链。
该包在 npm 上每周下载量达 5 万次,被开发加密货币钱包、交易机器人、去中心化交易所、DeFi 应用和支付工具的开发人员广泛使用。
据研究人员称,攻击者攻陷了一个属于合法项目贡献者的 GitHub 账户,并于 6 月 8 日进行了首次可疑提交,随后不久发布了该包的恶意版本。
攻击者还针对与该项目相关的其他 17 个包发布了 1.20.21 版本,并将所有这些包锁定在受感染的 SDK 版本上。
合法账户所有者在几分钟内发现了此次入侵,撤销了更改,并发布了干净的版本 1.20.23。
然而,通过更新获取恶意包或使用了这些包的开发者系统很可能已遭到入侵。
Socket 表示,该恶意版本的包在被弃用(而非删除)之前已被下载 310 次,且 GitHub 上的恶意发布工件仍然可用。
研究人员还指出,该包在 npm 上有 87 个直接依赖项,并且很可能还有多个额外的传递依赖项。
Ox Security 的一份报告警告称,这 87 个依赖包的累计下载量略超过 11.2 万次。
针对加密货币钱包
该恶意软件并非在安装时激活,而是在开发者使用 SDK 中生成或导入钱包密钥的函数时触发。
一旦这些函数被调用,恶意软件就会捕获完整的助记词种子短语和私钥,并将数据编码为 base64。所有信息通过 HTTP POST 请求发送到 Injective Labs 的公共基础设施端点,以使流量看起来合法。
StepSecurity 报告称,该恶意软件并未立即传输窃取的机密信息,而是将多个密钥和助记词排队两秒钟,将其打包在 HTTP 请求头中,然后发送出去。
攻击者随后可能利用这些助记词或私钥将受害者的钱包转移到自己的设备上,并访问、使用或转移其数字资产。
怀疑遭到入侵的开发者应立即将加密货币转移到新钱包,并轮换其环境中的所有机密信息。


消息来源:bleepingcomputer.com
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
分享到:
hackernews

hackernews

该作者暂无简介