Security

Injective SDK Uygulaması Güvenlik Açığına Uğradı, Cüzdan Anahtarlarını Açığa Kapatıyor

Injective SDK Uygulaması Güvenlik Açığına Uğradı, Cüzdan Anahtarlarını Açığa Kapatıyor

Kötü niyetli bir güncelleme, Injective geliştirici paketini, 300’den fazla kez indirildikten sonra özel anahtarları ve tohum ifadelerini ifşa etti, güvenlik firması Socket’e göre. Uyuşmazlıklı sürüm, @injectivelabs/sdk-ts npm paketinin 1.20.21 sürümü, bir geliştiricinin GitHub hesabının tehlikeye girmesinden sonra değiştirildi ve şüpheli taahhütler 8 Haziran’da başladı. Kötü niyetli kod, cüzdan anahtarı oluşturma işlevlerini engelledi, özel anahtarları ve kurtarma ifadelerini kaydetti ve sonra verileri sahte telemetri aracılığıyla bir web adresine Injective sunucusuna benzeyen bir adrese gönderdi.

Kötü Niyetli Paket Ayrıntıları

Kötü niyetli sürüm, Injective Labs npm kapsamındaki 17 diğer pakete sabitlendi, böylece uygulamaları doğrudan SDK’yi yüklemeseler bile potentially maruz bırakabilir. Socket, etkilenen paketlerden geçen herhangi bir ana