Binance Square
#supplychainattack

supplychainattack

8,322 Aufrufe
22 Kommentare
PhoenixTraderpro
·
--
HACKER HABEN DAS OFFIZIELLE $INJ DEVELOPER-KIT—310 DOWNLOADS ⚠️ kompromittiert Eine manipulierte Version von Injective's SDK schlich sich über ein kompromittiertes GitHub-Konto ein und stahl bei normaler Nutzung Wallet-Seed-Phrasen sowie private Schlüssel. Die schädliche Komponente ging für weniger als eine Stunde online, verteilte sich auf 18 npm-Pakete und wurde 310 Mal abgerufen, bevor ein Fix eingespielt wurde. Wenn du oder ein Projekt, mit dem du interagierst, Wallet-Software nutzt oder Bots betreibt, die auf Injective basieren, könnte dieses einstündige Zeitfenster Schlüssel geleakt haben. Der Code protokollierte die Geheimnisse stillschweigend und lieferte sie an einen Server, der so gestaltet war, als sei er legitim. Entwickler wurden angewiesen, alle Schlüssel, die mit diesen Versionen in Berührung kamen, als kompromittiert zu behandeln. Prüfst du gerade, welche Version dein Wallet oder Bot aktuell ausführt? Keine finanzielle Beratung. Verwalte immer dein Risiko. #INJ #SecurityAlert #SupplyChainAttack #CryptoWarning ⚡
HACKER HABEN DAS OFFIZIELLE $INJ DEVELOPER-KIT—310 DOWNLOADS ⚠️ kompromittiert

Eine manipulierte Version von Injective's SDK schlich sich über ein kompromittiertes GitHub-Konto ein und stahl bei normaler Nutzung Wallet-Seed-Phrasen sowie private Schlüssel. Die schädliche Komponente ging für weniger als eine Stunde online, verteilte sich auf 18 npm-Pakete und wurde 310 Mal abgerufen, bevor ein Fix eingespielt wurde.

Wenn du oder ein Projekt, mit dem du interagierst, Wallet-Software nutzt oder Bots betreibt, die auf Injective basieren, könnte dieses einstündige Zeitfenster Schlüssel geleakt haben. Der Code protokollierte die Geheimnisse stillschweigend und lieferte sie an einen Server, der so gestaltet war, als sei er legitim. Entwickler wurden angewiesen, alle Schlüssel, die mit diesen Versionen in Berührung kamen, als kompromittiert zu behandeln.

Prüfst du gerade, welche Version dein Wallet oder Bot aktuell ausführt?

Keine finanzielle Beratung. Verwalte immer dein Risiko.

#INJ #SecurityAlert #SupplyChainAttack #CryptoWarning

$INJ SDK COMPROMISED — 50,000 WÖCHENTLICHE DOWNLOADS BETROFFEN ⚠️ Das npm-Paket @injectivelabs/sdk-ts wurde bösartig modifiziert, nachdem ein Entwicklerkonto auf GitHub kompromittiert wurde. Version 1.20.21 enthält Code, der Wallet-Private-Keys und Mnemonic-Phrasen stiehlt und sie in einen verschleierten Server kodiert. Mit etwa 50.000 wöchentlichen Downloads und 17 weiteren gesperrten Paketen im gleichen Scope ist das ein umfassender Supply-Chain-Angriff. Verdächtige Commits begannen am 8. Juni. Hast du deine Abhängigkeiten geprüft? Keine Finanzberatung. Verwalte immer dein Risiko. #INJ #SupplyChainAttack #CryptoSecurity #SecurityAlert ⚠️
$INJ SDK COMPROMISED — 50,000 WÖCHENTLICHE DOWNLOADS BETROFFEN ⚠️

Das npm-Paket @injectivelabs/sdk-ts wurde bösartig modifiziert, nachdem ein Entwicklerkonto auf GitHub kompromittiert wurde. Version 1.20.21 enthält Code, der Wallet-Private-Keys und Mnemonic-Phrasen stiehlt und sie in einen verschleierten Server kodiert.

Mit etwa 50.000 wöchentlichen Downloads und 17 weiteren gesperrten Paketen im gleichen Scope ist das ein umfassender Supply-Chain-Angriff. Verdächtige Commits begannen am 8. Juni. Hast du deine Abhängigkeiten geprüft?

Keine Finanzberatung. Verwalte immer dein Risiko.

#INJ #SupplyChainAttack #CryptoSecurity #SecurityAlert

⚠️
30 bösartige NPM-Pakete, die $ETH DEVELOPERS ins Visier nehmen 🔥 Ein koordinierter Supply-Chain-Angriff wurde aufgedeckt: Dabei wurden ein gefälschtes Trading-Bot-Repository und ein DeFi-getöntes npm-Paket genutzt, um einen JavaScript-Informationsteiler einzuschleusen. Der Umfang umfasst 30 bösartige Pakete. Dabei ist stake-math@3.5.4 als Abhängigkeit in einem Repo gepinnt, das etwa 2.300 nahezu identische Forks hervorbrachte — ein klares Automations-Warnsignal. Im Feuer sind sensible Daten: Wallet-Bibliotheken, private Keys, Mnemonics, API-Tokens und gespeicherte Browser-Zugangsdaten. Wenn du kürzlich npm install in irgendeinem Projekt ausgeführt hast, das mit DeFi oder Trading-Bots verbunden ist, ist deine Umgebung möglicherweise bereits kompromittiert. Prüfst du heute deine Abhängigkeiten? Keine Finanzberatung. Manage immer dein Risiko. #ETH #SecurityAlert #DeFi #SupplyChainAttack 🔥
30 bösartige NPM-Pakete, die $ETH DEVELOPERS ins Visier nehmen 🔥

Ein koordinierter Supply-Chain-Angriff wurde aufgedeckt: Dabei wurden ein gefälschtes Trading-Bot-Repository und ein DeFi-getöntes npm-Paket genutzt, um einen JavaScript-Informationsteiler einzuschleusen. Der Umfang umfasst 30 bösartige Pakete. Dabei ist stake-math@3.5.4 als Abhängigkeit in einem Repo gepinnt, das etwa 2.300 nahezu identische Forks hervorbrachte — ein klares Automations-Warnsignal.

Im Feuer sind sensible Daten: Wallet-Bibliotheken, private Keys, Mnemonics, API-Tokens und gespeicherte Browser-Zugangsdaten. Wenn du kürzlich npm install in irgendeinem Projekt ausgeführt hast, das mit DeFi oder Trading-Bots verbunden ist, ist deine Umgebung möglicherweise bereits kompromittiert. Prüfst du heute deine Abhängigkeiten?

Keine Finanzberatung. Manage immer dein Risiko.

#ETH #SecurityAlert #DeFi #SupplyChainAttack

🔥
Polymarket-Händler kompromittiert — Angreifer leerten 2,9 Mio. $ aus Wallets Über das Wochenende traf einen Supply-Chain-Angriff Polymarket. Ein bösartiges Skript, das in das Frontend injiziert wurde, entleerte rund 2,9 Millionen Dollar, bevor das Team es abschaltete. Dies ist kein Smart-Contract-Exploit. Die Angreifer haben nicht die Kerninfrastruktur ins Visier genommen, sondern die Software- Lieferkette von Polymarket. Supply-Chain-Angriffe verstecken sich in vertrauenswürdigen Drittanbieter-Code, wodurch sie schwerer zu erkennen sind. Polymarket bestätigte, dass alle betroffenen Nutzer vollständige Erstattungen erhalten. Das Team isolierte die Sicherheitslücke schnell. Der Vorfall zeigt jedoch, wie Plattformen, die auf externe Dienste angewiesen sind, zusätzliche Angriffsflächen eröffnen, die über Smart Contracts hinausgehen. Kryptowetten und Prognisemärkte haben in diesem Jahr enorm viel Aufmerksamkeit auf sich gezogen. Dieser Vorfall testet, ob Plattformen das Vertrauen aufrechterhalten können, während sie wachsen. Sicherheitsüberprüfungen von Drittanbieter-Abhängigkeiten könnten zu einer Standardpraxis werden müssen. Sollten dezentrale Plattformen ihre Software-Abhängigkeiten stärker prüfen? Die Branche schaut zu. $BTC $ETH $SOL #Polymarket #SupplyChainAttack #Crypto
Polymarket-Händler kompromittiert — Angreifer leerten 2,9 Mio. $ aus Wallets

Über das Wochenende traf einen Supply-Chain-Angriff Polymarket. Ein bösartiges Skript, das in das Frontend injiziert wurde, entleerte rund 2,9 Millionen Dollar, bevor das Team es abschaltete.

Dies ist kein Smart-Contract-Exploit. Die Angreifer haben nicht die Kerninfrastruktur ins Visier genommen, sondern die Software- Lieferkette von Polymarket. Supply-Chain-Angriffe verstecken sich in vertrauenswürdigen Drittanbieter-Code, wodurch sie schwerer zu erkennen sind.

Polymarket bestätigte, dass alle betroffenen Nutzer vollständige Erstattungen erhalten. Das Team isolierte die Sicherheitslücke schnell. Der Vorfall zeigt jedoch, wie Plattformen, die auf externe Dienste angewiesen sind, zusätzliche Angriffsflächen eröffnen, die über Smart Contracts hinausgehen.

Kryptowetten und Prognisemärkte haben in diesem Jahr enorm viel Aufmerksamkeit auf sich gezogen. Dieser Vorfall testet, ob Plattformen das Vertrauen aufrechterhalten können, während sie wachsen. Sicherheitsüberprüfungen von Drittanbieter-Abhängigkeiten könnten zu einer Standardpraxis werden müssen.

Sollten dezentrale Plattformen ihre Software-Abhängigkeiten stärker prüfen? Die Branche schaut zu. $BTC $ETH $SOL
#Polymarket #SupplyChainAttack #Crypto
$INJ SDK BACKDOOR – 310 DOWNLOADS BÖSARTIGEN CODES VOR DEM FIX 🔥 Eine verseuchte Version des Kern-TypeScript-Pakets von Injective war weniger als eine Stunde lang auf npm live und exfiltrierte stillschweigend Wallet-Seed-Phrasen und private Schlüssel. Die bösartige Veröffentlichung verbreitete sich über 18 Pakete und wurde 310-mal heruntergeladen, bevor sie entfernt wurde. Sicherheitsunternehmen Socket bestätigte, dass der Vorfall von einem gekaperten GitHub-Beitragskonto ausgegangen war. Der bösartige Code tarnte sich als Analytics und sendete gestohlene Schlüssel an einen Server, der eine legitime Injective-Infrastruktur nachahmte. Jeder Schlüssel, der durch Version 1.20.21 gelangt ist, sollte als kompromittiert betrachtet werden. Laufen in Ihren Projekten das betroffene @injectivelabs/sdk-ts-Paket? Keine Finanzberatung. Verwalten Sie immer Ihr Risiko. #INJ #SecurityAlert #CryptoAlert #WalletSafety #SupplyChainAttack 🔥
$INJ SDK BACKDOOR – 310 DOWNLOADS BÖSARTIGEN CODES VOR DEM FIX 🔥

Eine verseuchte Version des Kern-TypeScript-Pakets von Injective war weniger als eine Stunde lang auf npm live und exfiltrierte stillschweigend Wallet-Seed-Phrasen und private Schlüssel. Die bösartige Veröffentlichung verbreitete sich über 18 Pakete und wurde 310-mal heruntergeladen, bevor sie entfernt wurde.

Sicherheitsunternehmen Socket bestätigte, dass der Vorfall von einem gekaperten GitHub-Beitragskonto ausgegangen war. Der bösartige Code tarnte sich als Analytics und sendete gestohlene Schlüssel an einen Server, der eine legitime Injective-Infrastruktur nachahmte. Jeder Schlüssel, der durch Version 1.20.21 gelangt ist, sollte als kompromittiert betrachtet werden.

Laufen in Ihren Projekten das betroffene @injectivelabs/sdk-ts-Paket?

Keine Finanzberatung. Verwalten Sie immer Ihr Risiko.

#INJ #SecurityAlert #CryptoAlert #WalletSafety #SupplyChainAttack

🔥
Übersetzung ansehen
$INJ NPM PACKAGE HACK — 50K WEEKLY DOWNLOADS COMPROMISED 🔥 Malicious version 1.20.21 of injectivelabs/sdk-ts is stealing private keys and recovery phrases. The dev's GitHub account was compromised in a classic supply chain attack targeting developers. With roughly 50,000 downloads per week, this is not a small-scale incident. If you or your team have interacted with this package since June 8th, change your keys immediately. Injective reacted fast, but the npm ecosystem still has gaps. Are you checking your dependencies for malicious updates? Not financial advice. Always manage your risk. #INJ #SecurityAlert #SupplyChainAttack #CryptoNews #Web3 ⚡
$INJ NPM PACKAGE HACK — 50K WEEKLY DOWNLOADS COMPROMISED 🔥

Malicious version 1.20.21 of injectivelabs/sdk-ts is stealing private keys and recovery phrases. The dev's GitHub account was compromised in a classic supply chain attack targeting developers. With roughly 50,000 downloads per week, this is not a small-scale incident. If you or your team have interacted with this package since June 8th, change your keys immediately.

Injective reacted fast, but the npm ecosystem still has gaps. Are you checking your dependencies for malicious updates?

Not financial advice. Always manage your risk.

#INJ #SecurityAlert #SupplyChainAttack #CryptoNews #Web3

Anmelden und weiter Inhalte entdecken
Krypto-Nutzer weltweit auf Binance Square kennenlernen
⚡️ Bleib in Sachen Krypto stets am Puls.
💬 Die weltgrößte Kryptobörse vertraut darauf.
👍 Erhalte verlässliche Einblicke von verifizierten Creators.
E-Mail-Adresse/Telefonnummer