Ukjente angripere tok kontroll over Injective Labs' offisielle SDK-repo på GitHub og brukte det til å publisere en ondsinnet npm-pakke som tømmer kryptolommebøker. Den kompromitterte versjonen, @injectivelabs/sdk-ts@1.20.21, ble sluppet 8. juli med falsk telemetri-funksjonalitet som eksfiltrerer private nøkler og seed-fraser, ifølge sikkerhetsselskapet Socket. Angriperen publiserte samme versjonsnummer på 17 andre @injectivelabs-pakker som pinnet den infiserte SDK-en, slik at også transitive brukere ble rammet.
Koden gjemte seg som en «trackKeyDerivation()»-funksjon utgitt for å samle anonymisert bruksstatistikk. Den unngikk lifecycle-skript og kjørte ikke under installasjon, men først når en utvikler faktisk brukte biblioteket til å generere nøkler. De innsamlede dataene ble samlet i en kø over to sekunder og sendt som én HTTPS-POST til en ekstern server. De ondsinnede commitene ble pushet gjennom repoets egen betrodde OIDC-publiseringspipeline, under identiteten til en eksisterende, betrodd vedlikeholder.
«Skadevaren leser mnemoniske fraser, som i praksis er hovednøkkelen for enhver kryptolommebok, og sender dem til en fjernserver.» — OX Security
Hva bør du gjøre?
- Oppdater til den rensede versjonen 1.20.23 hvis du har installert 1.20.21.
- Behandle enhver privat nøkkel eller seed-frase som har passert pakken som kompromittert, og roter dem.
- Sjekk transitive avhengigheter mot de 17 andre @injectivelabs-pakkene.