Security

Injective SDK 보안 취약점, 지갑 키 노출

Injective SDK 보안 취약점, 지갑 키 노출

Injective 개발자 패키지에 대한 악의적인 업데이트로 인해 300번 이상 다운로드된 후 개인 키와 시드 문구가 노출되었다고 보안 회사 Socket이 보고했다. 잠재적으로 손상된 버전인 1.20.21의 @injectivelabs/sdk-ts npm 패키지는 개발자의 GitHub 계정이 손상된 후 수정되었으며, 의심스러운 커밋은 6월 8일부터 시작되었다. 악성 코드는 지갑 키 생성 함수를 가로채어 개인 키와 복구 문구를 기록한 다음 가짜 원격 분석을 통해 Injective 서버와 유사한 웹 주소로 데이터를 보냈다.

악성 패키지 세부 정보

악성 릴리스는 Injective Labs npm 범위下的 17개의 다른 패키지에서 고정되었으며, 이는 직접 SDK를 설치하지 않더라도 응용 프로그램을 노출할 수 있다. Socket은 영향을 받는 패키지를 통해 전달된 모든 키 또는 단축 이름이 손상된 것으로 간주되어야 한다고 경고했다.

사건 대응

손상된 개발자가 침입을 빠