Ein bösartiges Update eines Injective-Entwicklerpakets hat private Schlüssel und Seed-Phrasen nach dem Herunterladen über 300 Mal offenbart, laut dem Sicherheitsunternehmen Socket. Die kompromittierte Version, 1.20.21 des @injectivelabs/sdk-ts npm-Pakets, wurde geändert, nachdem das GitHub-Konto eines Entwicklers kompromittiert wurde, wobei verdächtige Commits am 8. Juni begannen. Der bösartige Code hat die Wallet-Schlüsselgenerierungsfunktionen abgefangen, private Schlüssel und Wiederherstellungsphrasen aufgezeichnet und dann die Daten über eine falsche Telemetrie an eine Web-Adresse gesendet, die einem Injective-Server ähnelt.
Details zum bösartigen Paket
Die bösartige Version wurde in 17 anderen Paketen unter dem Injective Labs npm-Bereich festgelegt, was möglicherweise Anwendungen auch dann gefährdet, wenn sie das SDK nicht direkt installiert haben. Socket warnte, dass alle Schlüssel oder Mnemonics, die durch