Injectiveの開発者パッケージへの悪意のある更新により、300回以上ダウンロードされた後、プライベートキーとシードフレーズが公開されたと、セキュリティ会社のSocketは報告しています。
悪影響を受けたバージョン、@injectivelabs/sdk-ts npmパッケージの1.20.21は、開発者のGitHubアカウントが悪影響を受けた後に変更され、6月8日から疑わしいコミットが開始されました。
悪意のあるコードはウォレットのキー生成関数を傍受し、プライベートキーと復旧フレーズを記録して、偽のテレメトリを通じてInjectiveサーバーに似たWebアドレスにデータを送信しました。
悪意のあるパッケージの詳細
悪意のあるリリースは、Injective Labsのnpmスコープ下にある17の他のパッケージにピン留めされ、SDKを直接インストールしなくてもアプリケーションを公開する可能性がありました。 Socketは、影響を受