Kötü niyetli bir güncelleme, Injective geliştirici paketini, 300’den fazla kez indirildikten sonra özel anahtarları ve tohum ifadelerini ifşa etti, güvenlik firması Socket’e göre. Uyuşmazlıklı sürüm, @injectivelabs/sdk-ts npm paketinin 1.20.21 sürümü, bir geliştiricinin GitHub hesabının tehlikeye girmesinden sonra değiştirildi ve şüpheli taahhütler 8 Haziran’da başladı. Kötü niyetli kod, cüzdan anahtarı oluşturma işlevlerini engelledi, özel anahtarları ve kurtarma ifadelerini kaydetti ve sonra verileri sahte telemetri aracılığıyla bir web adresine Injective sunucusuna benzeyen bir adrese gönderdi.
Kötü Niyetli Paket Ayrıntıları
Kötü niyetli sürüm, Injective Labs npm kapsamındaki 17 diğer pakete sabitlendi, böylece uygulamaları doğrudan SDK’yi yüklemeseler bile potentially maruz bırakabilir. Socket, etkilenen paketlerden geçen herhangi bir ana