Hackare komprometterade Injective Labs SDK-projekt och publicerade ett skadligt npm-paket. Paketet stal privata nycklar och mnemonic seed phrases till kryptoplånböcker.
Säkerhetsföretagen Socket, Ox Security och StepSecurity upptäckte leverantörskedjeattacken. Den drabbade version 1.20.21 av paketet @injectivelabs/sdk-ts.
Injective SDK-Malware Spreds Via npm
Injective SDK är ett utvecklingspaket för TypeScript och JavaScript. Utvecklare använder det för att bygga applikationer på Injective-blockkedjan.
Blockkedjan fokuserar på decentraliserad finans (DeFi), tokeniserade tillgångar och decentraliserade börser.
npm-paketet laddas ner omkring 50 000 gånger varje vecka. Utvecklare använder det i kryptoplånböcker, handelsrobotar, betalningsverktyg och DeFi-applikationer.
Forskarna uppger att angriparen komprometterade GitHub-kontot till en legitim projektbidragsgivare. De första misstänkta ändringarna dök upp den 8 juni.
Kort därefter publicerade angriparen den skadliga versionen på npm.
Angriparna Komprometterade Fler Paket
Angriparen publicerade även version 1.20.21 för ytterligare 17 relaterade paket. Samtliga pekade på den komprometterade SDK-versionen.
Ägaren till det legitima kontot upptäckte intrånget inom några minuter. Personen återställde ändringarna och publicerade en ren version med versionsnummer 1.20.23.
Trots det kan utvecklare redan ha laddat ner eller använt de skadliga paketen. De systemen kan fortfarande vara komprometterade.
Socket uppger att det infekterade paketet laddades ner 310 gånger innan npm markerade det som föråldrat. Plattformen tog dock inte bort paketet helt.
Forskarna upptäckte dessutom att de skadliga GitHub-filerna fortfarande fanns tillgängliga.
Beroenden Ökade Risken
Det komprometterade paketet har 87 direkta beroenden på npm. Dessutom kan ett stort antal indirekta beroenden ha påverkats.
Ox Security uppger att de 87 beroendena tillsammans hade över 112 000 nedladdningar.
Det ökade attackens potentiella räckvidd. Projekt som automatiskt hämtade den infekterade versionen kan därför också ha exponerats.
Malware Angrep Plånboksfunktioner
Injective SDK-malware aktiverades inte vid installationen.
I stället väntade den tills utvecklaren använde funktioner som skapade eller importerade nycklar till kryptoplånböcker.
Då samlade malwaren in den fullständiga mnemonic seed phrase och den privata nyckeln. Därefter kodade den informationen med base64.
Malwaren skickade sedan uppgifterna via en HTTP POST-förfrågan. Den använde en publik endpoint i Injective Labs infrastruktur för att få trafiken att se legitim ut.
StepSecurity upptäckte att malwaren inte skickade varje hemlighet direkt. I stället lagrade den flera nycklar och seed phrases i två sekunder.
Sedan packade den informationen i HTTP-förfrågans header innan den skickade iväg den.
Stulna Nycklar Kan Tömma Kryptoplånböcker
Angripare kan använda stulna seed phrases eller privata nycklar för att återställa kryptoplånböcker på sina egna enheter.
När plånboken har återställts kan de få full åtkomst och överföra alla tillgängliga digitala tillgångar.
Utvecklare som använde version 1.20.21 bör utgå från att deras plånbokshemligheter kan vara exponerade.
De bör flytta sina tillgångar till nya kryptoplånböcker så snart som möjligt. Dessutom bör de byta ut alla hemligheter som finns lagrade i den drabbade miljön.


0 svar till ”Injective SDK-Malware Stjäl Nycklar till Kryptoplånböcker”