Security

Injective SDK مُخترق، يُ暴ّح بمفاتيح المحفظة

Injective SDK مُخترق، يُ暴ّح بمفاتيح المحفظة

تعرض تحديث خبيث لحزمة مطور Injective لأمانة المفاتيح الخاصة والتراكيب البذرة بعد تحميلها أكثر من 300 مرة، وفقًا لشركة الأمن Socket. النسخة المتضررة، 1.20.21 من حزمة @injectivelabs/sdk-ts npm، تم تغييرها بعد اختراق حساب مطور على GitHub، مع بداية التغييرات المشبوهة في 8 يونيو. أنتجت الكود الخبيث وظائف توليد مفاتيح المحفظة، وقامت بتسجيل المفاتيح الخاصة وعبارات الاستعادة، ثم أرسلت البيانات من خلال تелеметري خادعة إلى عنوان ويب يشبه خادم Injective.

تفاصيل الحزمة الخبيثة

تم تثبيت الإصدار الخبيث عبر 17 حزمة أخرى تحت نطاق Injective Labs npm، مما قد يؤدي إلى تعريض التطبيقات حتى لو لم يتم تثبيت SDK مباشرة. حذرت Socket من أن أي مفاتيح أو معاني تم تمريرها عبر الحزم المتأثرة يجب أن تعامل كأ