Hackere kompromitterede Injective Labs’ SDK-projekt og offentliggjorde en ondsindet npm-pakke. Pakken stjal private nøgler og mnemonic seed phrases til kryptowallets.
Sikkerhedsvirksomhederne Socket, Ox Security og StepSecurity opdagede supply chain-angrebet. Det ramte version 1.20.21 af pakken @injectivelabs/sdk-ts.
Injective SDK-malware Blev Udgivet på npm
Injective SDK er et udviklingskit til TypeScript og JavaScript. Udviklere bruger det til at bygge applikationer på Injective-blockchainen.
Blockchainen fokuserer på decentraliseret finans (DeFi), tokeniserede aktiver og decentraliserede børser.
npm-pakken bliver downloadet omkring 50.000 gange om ugen. Udviklere anvender den i kryptowallets, handelsbots, betalingsløsninger og DeFi-applikationer.
Forskerne oplyser, at angriberen kompromitterede GitHub-kontoen til en legitim bidragyder til projektet. De første mistænkelige ændringer dukkede op den 8. juni.
Kort efter offentliggjorde angriberen den ondsindede version på npm.
Angriberne Kompromitterede Flere Pakker
Angriberen udgav også version 1.20.21 af yderligere 17 relaterede pakker. Alle var låst til den kompromitterede SDK-version.
Ejeren af den legitime konto opdagede kompromitteringen inden for få minutter. Vedkommende rullede ændringerne tilbage og udgav en ren version med versionsnummer 1.20.23.
Alligevel kan udviklere allerede have downloadet eller taget de ondsindede pakker i brug. De systemer kan fortsat være kompromitterede.
Socket oplyser, at den inficerede pakke blev downloadet 310 gange, før npm markerede den som forældet. Platformen fjernede den dog ikke helt.
Forskerne konstaterede også, at de ondsindede GitHub-udgivelsesfiler fortsat var tilgængelige.
Afhængigheder Øgede Risikoen
Den kompromitterede pakke har 87 direkte afhængigheder på npm. Derudover kan et stort antal indirekte afhængigheder også være berørt.
Ox Security oplyser, at de 87 afhængige pakker tilsammen havde mere end 112.000 downloads.
Det udvidede angrebets potentielle rækkevidde. Projekter, der automatisk hentede den inficerede version, kan derfor også være blevet eksponeret.
Malware Gik Efter Wallet-funktioner
Injective SDK-malwaren aktiverede sig ikke under installationen.
I stedet ventede den, indtil udvikleren brugte funktioner, der oprettede eller importerede nøgler til kryptowallets.
På det tidspunkt indsamlede malwaren den fulde mnemonic seed phrase og den private nøgle. Derefter kodede den oplysningerne med base64.
Malwaren sendte derefter dataene via en HTTP POST-anmodning. Den benyttede et offentligt endpoint i Injective Labs’ infrastruktur for at få trafikken til at fremstå legitim.
StepSecurity opdagede, at malwaren ikke sendte hver enkelt hemmelighed med det samme. I stedet gemte den flere nøgler og seed phrases i to sekunder.
Derefter pakkede den oplysningerne ind i HTTP-anmodningens header, før den sendte dem videre.
Stjålne Nøgler Kan Tømme Kryptowallets
Angribere kan bruge stjålne seed phrases eller private nøgler til at gendanne kryptowallets på deres egne enheder.
Når walleten er gendannet, kan de få fuld adgang og overføre alle tilgængelige digitale aktiver.
Udviklere, der har brugt version 1.20.21, bør antage, at deres wallet-hemmeligheder kan være kompromitteret.
De bør flytte deres midler til nye kryptowallets hurtigst muligt. Derudover bør de udskifte alle hemmeligheder, der er gemt i det berørte miljø.


0 svar til “Injective SDK-malware Stjæler Nøgler til Kryptowallets”