Binance Square
#supplychainattack

supplychainattack

8,322 lượt xem
22 đang thảo luận
PhoenixTraderpro
·
--
TIN TẶC ĐÃ XÂM NHẬP BỘ KIT DEV CHÍNH THỨC $INJ DEVELOPER — 310 LƯỢT TẢI ⚠️ Một phiên bản cài cắm (backdoor) của SDK Injective đã lẻn vào thông qua một tài khoản GitHub bị xâm phạm và đánh cắp cụm seed ví cũng như khóa riêng trong quá trình sử dụng bình thường. Tải trọng (payload) được kích hoạt trong chưa đầy một giờ, lan sang 18 gói npm và đã được tải về 310 lần trước khi có bản vá. Nếu bạn hoặc bất kỳ dự án nào bạn tương tác chạy phần mềm ví hoặc bot được xây dựng trên Injective, thì “cửa sổ” một giờ đó có thể đã làm lộ khóa. Đoạn mã âm thầm ghi lại các bí mật và gửi chúng tới một máy chủ được thiết kế trông có vẻ hợp pháp. Các nhà phát triển được yêu cầu coi mọi khóa từng chạm vào các phiên bản đó là đã bị xâm phạm. Bạn có đang kiểm tra phiên bản ví hoặc bot của mình đang chạy ngay bây giờ không? Không phải lời khuyên tài chính. Hãy luôn quản lý rủi ro của bạn. #INJ #SecurityAlert #SupplyChainAttack #CryptoWarning ⚡
TIN TẶC ĐÃ XÂM NHẬP BỘ KIT DEV CHÍNH THỨC $INJ DEVELOPER — 310 LƯỢT TẢI ⚠️

Một phiên bản cài cắm (backdoor) của SDK Injective đã lẻn vào thông qua một tài khoản GitHub bị xâm phạm và đánh cắp cụm seed ví cũng như khóa riêng trong quá trình sử dụng bình thường. Tải trọng (payload) được kích hoạt trong chưa đầy một giờ, lan sang 18 gói npm và đã được tải về 310 lần trước khi có bản vá.

Nếu bạn hoặc bất kỳ dự án nào bạn tương tác chạy phần mềm ví hoặc bot được xây dựng trên Injective, thì “cửa sổ” một giờ đó có thể đã làm lộ khóa. Đoạn mã âm thầm ghi lại các bí mật và gửi chúng tới một máy chủ được thiết kế trông có vẻ hợp pháp. Các nhà phát triển được yêu cầu coi mọi khóa từng chạm vào các phiên bản đó là đã bị xâm phạm.

Bạn có đang kiểm tra phiên bản ví hoặc bot của mình đang chạy ngay bây giờ không?

Không phải lời khuyên tài chính. Hãy luôn quản lý rủi ro của bạn.

#INJ #SecurityAlert #SupplyChainAttack #CryptoWarning

$INJ SDK BỊ THỎA HIỆN — 50.000 LƯỢT TẢI HÀNG TUẦN BỊ ẢNH HƯỞNG ⚠️ Gói npm @injectivelabs/sdk-ts đã bị chỉnh sửa độc hại sau khi tài khoản GitHub của một nhà phát triển bị xâm phạm. Phiên bản 1.20.21 chứa mã đánh cắp khóa riêng ví và cụm từ ghi nhớ (mnemonic), rồi mã hóa chúng để gửi đến một máy chủ được ngụy trang. Với khoảng 50.000 lượt tải hàng tuần và 17 gói khác trong cùng phạm vi cũng bị khóa, đây là một cuộc tấn công chuỗi cung ứng trên diện rộng. Các commit đáng ngờ bắt đầu từ ngày 8 tháng 6. Bạn đã kiểm tra (audit) các phụ thuộc của mình chưa? Không phải lời khuyên tài chính. Luôn quản lý rủi ro của bạn. #INJ #SupplyChainAttack #CryptoSecurity #SecurityAlert ⚠️
$INJ SDK BỊ THỎA HIỆN — 50.000 LƯỢT TẢI HÀNG TUẦN BỊ ẢNH HƯỞNG ⚠️

Gói npm @injectivelabs/sdk-ts đã bị chỉnh sửa độc hại sau khi tài khoản GitHub của một nhà phát triển bị xâm phạm. Phiên bản 1.20.21 chứa mã đánh cắp khóa riêng ví và cụm từ ghi nhớ (mnemonic), rồi mã hóa chúng để gửi đến một máy chủ được ngụy trang.

Với khoảng 50.000 lượt tải hàng tuần và 17 gói khác trong cùng phạm vi cũng bị khóa, đây là một cuộc tấn công chuỗi cung ứng trên diện rộng. Các commit đáng ngờ bắt đầu từ ngày 8 tháng 6. Bạn đã kiểm tra (audit) các phụ thuộc của mình chưa?

Không phải lời khuyên tài chính. Luôn quản lý rủi ro của bạn.

#INJ #SupplyChainAttack #CryptoSecurity #SecurityAlert

⚠️
30 GÓI NPM MALICIOUS nhắm mục tiêu $ETH DEVELOPERS FOUND 🔥 Một cuộc tấn công chuỗi cung ứng có phối hợp đã được phát hiện, sử dụng một kho mã giả mạo bot giao dịch và một gói npm theo chủ đề DeFi để chèn một JavaScript đánh cắp thông tin. Phạm vi bao gồm 30 gói độc hại, trong đó stake-math@3.5.4 được ghim như một phần phụ thuộc trong một repo đã tạo ra khoảng 2.300 bản fork gần như giống hệt nhau — một dấu hiệu đỏ rõ ràng của việc tự động hóa. Dữ liệu nhạy cảm nằm trong tầm ngắm: thư viện ví, khóa riêng, cụm từ ghi nhớ (mnemonics), mã token API và thông tin đăng nhập trình duyệt đã lưu. Nếu bạn đã chạy “npm install” gần đây trên bất kỳ dự án nào có liên quan đến DeFi hoặc bot giao dịch, môi trường của bạn có thể đã bị xâm nhập. Bạn có đang kiểm tra (audit) các phụ thuộc của mình hôm nay không? Không phải lời khuyên tài chính. Luôn quản lý rủi ro của bạn. #ETH #SecurityAlert #DeFi #SupplyChainAttack 🔥
30 GÓI NPM MALICIOUS nhắm mục tiêu $ETH DEVELOPERS FOUND 🔥

Một cuộc tấn công chuỗi cung ứng có phối hợp đã được phát hiện, sử dụng một kho mã giả mạo bot giao dịch và một gói npm theo chủ đề DeFi để chèn một JavaScript đánh cắp thông tin. Phạm vi bao gồm 30 gói độc hại, trong đó stake-math@3.5.4 được ghim như một phần phụ thuộc trong một repo đã tạo ra khoảng 2.300 bản fork gần như giống hệt nhau — một dấu hiệu đỏ rõ ràng của việc tự động hóa.

Dữ liệu nhạy cảm nằm trong tầm ngắm: thư viện ví, khóa riêng, cụm từ ghi nhớ (mnemonics), mã token API và thông tin đăng nhập trình duyệt đã lưu. Nếu bạn đã chạy “npm install” gần đây trên bất kỳ dự án nào có liên quan đến DeFi hoặc bot giao dịch, môi trường của bạn có thể đã bị xâm nhập. Bạn có đang kiểm tra (audit) các phụ thuộc của mình hôm nay không?

Không phải lời khuyên tài chính. Luôn quản lý rủi ro của bạn.

#ETH #SecurityAlert #DeFi #SupplyChainAttack

🔥
Xem bản dịch
Polymarket Vendor Compromised — Attackers Drained $2.9M From Wallets A supply chain attack hit Polymarket over the weekend. A malicious script injected into the frontend drained roughly $2.9 million before the team shut it down. This is not a smart contract exploit. Attackers targeted Polymarket's software supply chain rather than core infrastructure. Supply chain attacks hide in trusted third-party code, making them harder to spot. Polymarket confirmed all affected users will receive full refunds. The team isolated the breach quickly. But the incident highlights how platforms relying on external services expose attack surfaces beyond smart contracts. Prediction markets have drawn massive attention this year. This breach tests whether platforms can maintain trust as they scale. Security audits of third-party dependencies may need to become standard practice. Should decentralized platforms audit their software dependencies more aggressively? The industry is watching. $BTC $ETH $SOL #Polymarket #SupplyChainAttack #Crypto
Polymarket Vendor Compromised — Attackers Drained $2.9M From Wallets

A supply chain attack hit Polymarket over the weekend. A malicious script injected into the frontend drained roughly $2.9 million before the team shut it down.

This is not a smart contract exploit. Attackers targeted Polymarket's software supply chain rather than core infrastructure. Supply chain attacks hide in trusted third-party code, making them harder to spot.

Polymarket confirmed all affected users will receive full refunds. The team isolated the breach quickly. But the incident highlights how platforms relying on external services expose attack surfaces beyond smart contracts.

Prediction markets have drawn massive attention this year. This breach tests whether platforms can maintain trust as they scale. Security audits of third-party dependencies may need to become standard practice.

Should decentralized platforms audit their software dependencies more aggressively? The industry is watching. $BTC $ETH $SOL
#Polymarket #SupplyChainAttack #Crypto
$INJ NPM GÓI BỊ HACK — 50K LƯỢT TẢI HÀNG TUẦN BỊ THỎA HIỆN 🔥 Phiên bản độc hại 1.20.21 của injectivelabs/sdk-ts đang đánh cắp private keys và recovery phrases. Tài khoản GitHub của nhà phát triển đã bị xâm nhập trong một cuộc tấn công chuỗi cung ứng điển hình nhắm vào các nhà phát triển. Với khoảng 50.000 lượt tải mỗi tuần, đây không phải là một sự cố quy mô nhỏ. Nếu bạn hoặc đội ngũ của bạn đã tương tác với gói này kể từ ngày 8 tháng 6, hãy thay key của bạn ngay lập tức. Injective đã phản ứng nhanh, nhưng hệ sinh thái npm vẫn còn lỗ hổng. Bạn có đang kiểm tra các dependency của mình để phát hiện cập nhật độc hại không? Không phải lời khuyên tài chính. Luôn quản lý rủi ro của bạn. #INJ #SecurityAlert #SupplyChainAttack #CryptoNews #Web3 ⚡
$INJ NPM GÓI BỊ HACK — 50K LƯỢT TẢI HÀNG TUẦN BỊ THỎA HIỆN 🔥

Phiên bản độc hại 1.20.21 của injectivelabs/sdk-ts đang đánh cắp private keys và recovery phrases. Tài khoản GitHub của nhà phát triển đã bị xâm nhập trong một cuộc tấn công chuỗi cung ứng điển hình nhắm vào các nhà phát triển. Với khoảng 50.000 lượt tải mỗi tuần, đây không phải là một sự cố quy mô nhỏ. Nếu bạn hoặc đội ngũ của bạn đã tương tác với gói này kể từ ngày 8 tháng 6, hãy thay key của bạn ngay lập tức.

Injective đã phản ứng nhanh, nhưng hệ sinh thái npm vẫn còn lỗ hổng. Bạn có đang kiểm tra các dependency của mình để phát hiện cập nhật độc hại không?

Không phải lời khuyên tài chính. Luôn quản lý rủi ro của bạn.

#INJ #SecurityAlert #SupplyChainAttack #CryptoNews #Web3

$INJ SDK BACKDOOR – 310 LƯỢT TẢI MÃ ĐỘC HẠI TRƯỚC KHI SỬA 🔥 Một phiên bản bị nhiễm độc của gói TypeScript lõi của Injective đã tồn tại chưa đầy một giờ trên npm, âm thầm chiếm xuất bí mật (exfil) cụm seed ví và khóa riêng. Bản phát hành độc hại đã lan sang 18 gói và được tải xuống 310 lần trước khi bị gỡ. Công ty an ninh Socket xác nhận rằng sự cố bắt nguồn từ một tài khoản cộng tác viên GitHub bị chiếm quyền. Đoạn mã giả mạo này ngụy trang như phân tích (analytics) và gửi các khóa bị đánh cắp tới một máy chủ mô phỏng cơ sở hạ tầng hợp pháp của Injective. Bất kỳ khóa nào đi qua phiên bản 1.20.21 đều nên được xem là đã bị xâm phạm. Dự án của bạn có đang chạy gói @injectivelabs/sdk-ts bị ảnh hưởng không? Không phải lời khuyên tài chính. Luôn quản lý rủi ro của bạn. #INJ #SecurityAlert #CryptoAlert #WalletSafety #SupplyChainAttack 🔥
$INJ SDK BACKDOOR – 310 LƯỢT TẢI MÃ ĐỘC HẠI TRƯỚC KHI SỬA 🔥

Một phiên bản bị nhiễm độc của gói TypeScript lõi của Injective đã tồn tại chưa đầy một giờ trên npm, âm thầm chiếm xuất bí mật (exfil) cụm seed ví và khóa riêng. Bản phát hành độc hại đã lan sang 18 gói và được tải xuống 310 lần trước khi bị gỡ.

Công ty an ninh Socket xác nhận rằng sự cố bắt nguồn từ một tài khoản cộng tác viên GitHub bị chiếm quyền. Đoạn mã giả mạo này ngụy trang như phân tích (analytics) và gửi các khóa bị đánh cắp tới một máy chủ mô phỏng cơ sở hạ tầng hợp pháp của Injective. Bất kỳ khóa nào đi qua phiên bản 1.20.21 đều nên được xem là đã bị xâm phạm.

Dự án của bạn có đang chạy gói @injectivelabs/sdk-ts bị ảnh hưởng không?

Không phải lời khuyên tài chính. Luôn quản lý rủi ro của bạn.

#INJ #SecurityAlert #CryptoAlert #WalletSafety #SupplyChainAttack

🔥
Đăng nhập để khám phá thêm nội dung
Tham gia cùng người dùng tiền mã hóa toàn cầu trên Binance Square
⚡️ Nhận thông tin mới nhất và hữu ích về tiền mã hóa.
💬 Được tin cậy bởi sàn giao dịch tiền mã hóa lớn nhất thế giới.
👍 Khám phá những thông tin chuyên sâu thực tế từ những nhà sáng tạo đã xác minh.
Email / Số điện thoại