🚨 Оповещение о безопасности: хакеры попытались внедрить бэкдор в npm-пакет Injective, чтобы украсть ключи кошелька.
Сейчас атаки через цепочку поставок нацелены напрямую на разработческий стек в криптоиндустрии. По данным компании по кибербезопасности Socket, вредоносный код был внедрён в npm-пакет, связанный с рабочими процессами кошелька Injective. Он был предназначен для незаметного вывода приватных ключей и учётных данных у разработчиков и в приложениях, которые они создают.
Почему это важно:
• npm-пакеты лежат в основе большинства Web3-интерфейсов и инструментов
• Одна скомпрометированная зависимость может опустошить бесчисленные пользовательские кошельки
• Инцидент затронул Injective — L1 на базе Cosmos, популярный в DeFi и ончейн-торговле
Исследователи Socket предупредили, что риск особенно высок для приложений, которые обрабатывают подключения кошелька Injective: в них заражённый пакет может эксфильтровать ключи в момент, когда пользователи выполняют вход.
Хорошая новость: пакет был обнаружен до массового внедрения. Но это жёсткое напоминание о том, что «просто npm install» в крипто уже небезопасно. Командам следует фиксировать зависимости (pin), проверять lockfile и использовать сканирующие инструменты, чтобы выявлять подозрительные пост-инсталл скрипты.
По мере того как на ончейн перемещается всё больше ценности, поверхность атаки смещается в сторону самого кода. Будьте параноиками, разработчики. 🔐
#Injective #CryptoSecurity #DeFi #Web3 #npm