Зловредное обновление пакета разработчика Injective раскрыло приватные ключи и фразы для восстановления после того, как оно было скачано более 300 раз, согласно данным фирмы безопасности Socket. Компрометированная версия, 1.20.21 пакета @injectivelabs/sdk-ts npm, была изменена после того, как был скомпрометирован аккаунт разработчика на GitHub, с подозрительными коммитами, начиными с 8 июня. Малiciousный код перехватил функции генерации ключей кошелька, записывая приватные ключи и фразы восстановления, а затем отправляя данные через фальшивую телеметрию на веб-адрес, похожий на сервер Injective.
Детали зловредного пакета
Зловредный релиз был закреплен в 17 других пакетах в области Injective Labs npm, потенциально подвергая приложения риску даже если они не устанавливали SDK напрямую. Socket предупредил, что любые ключи или мн