Injective Labs GitHub-compromis pusht portemonnee-sleutelstelende npm-pakketten

Onbekende bedreigingsactoren hebben de GitHub-repository van het Injective Labs SDK-project gecompromitteerd en gebruikt om een ​​kwaadaardig pakket in het npm-register te publiceren om de privésleutels van cryptocurrency-portemonnees en geheugensteuntjes te stelen.

De gecompromitteerde versie, @injectivelabs/[email protected]was ingebed met nep-telemetriefunctionaliteit die gegevens uit cryptocurrency-portefeuilles exfiltreerde. De versie is uitgebracht op 8 juli 2026, maar is sindsdien verouderd in het register. Dat gezegd hebbende, zijn de release-artefacten van de gecompromitteerde versie op het moment van schrijven nog steeds beschikbaar om te downloaden van GitHub.

“De kwaadaardige functionaliteit werd geïntroduceerd in de officiële GitHub-repository van het project via commits ingediend door een GitHub-account van een ontwikkelaar met een gevestigde geschiedenis van bijdragen aan de repository”, aldus Socket.

Het beveiligingsbedrijf voor de softwareleveringsketen zei dat de bedreigingsacteur achter de aanval ook versie 1.20.21 publiceerde in 17 extra @injectivelabs-scoped-pakketten die afhankelijk waren van de kwaadaardige SDK-versie en deze vasthielden, waardoor transitieve gebruikers werden geplaatst die de bibliotheek mogelijk niet rechtstreeks hebben geïnstalleerd. Dit omvat –

  • @injectivelabs/utils
  • @injectivelabs/netwerken
  • @injectivelabs/ts-types
  • @injectivelabs/uitzonderingen
  • @injectivelabs/wallet-base
  • @injectivelabs/wallet-core
  • @injectivelabs/wallet-cosmos
  • @injectivelabs/wallet-private-key
  • @injectivelabs/wallet-evm
  • @injectivelabs/wallet-trezor
  • @injectivelabs/wallet-cosmostation
  • @injectivelabs/wallet-ledger
  • @injectivelabs/wallet-wallet-connect
  • @injectivelabs/wallet-magic
  • @injectivelabs/wallet-strategie
  • @injectivelabs/portemonnee-turnkey
  • @injectivelabs/wallet-cosmos-strategie

De malware die in het pakket aanwezig is, is vrij eenvoudig en ongecompliceerd en wordt geactiveerd wanneer de bibliotheekfunctionaliteit wordt gebruikt door een nietsvermoedende ontwikkelaar. Door levenscyclusscripts te vermijden en deze niet te starten tijdens de installatiefase, helpt het de malware onder de radar te blijven.

Concreet is gebleken dat de vergiftigde versie legitieme functies wijzigt die in workflows worden gebruikt om privésleutels te genereren door een “trackKeyDerivation()”-functie aan te roepen onder het mom van het verzamelen van geanonimiseerde gebruiksstatistieken voor SDK-optimalisatie.

“Volgt welke sleutelafleidingsmethoden worden gebruikt (hex versus mnemonic) en leidt timingpatronen af ​​om het SDK-team te helpen prestatieknelpunten te identificeren en de acceptatie van verschillende sleutelformaten in het hele ecosysteem te begrijpen”, luidt de beschrijving van de veronderstelde telemetriefunctie. “Alle statistieken zijn ‘fire-and-forget’ en blokkeren of beïnvloeden nooit de sleutelafleiding.”

Volgens Socket omvatten de parameters die aan de functie worden doorgegeven een hardgecodeerde markering die de methode beschrijft die wordt gebruikt om de privésleutel te genereren en de daadwerkelijke gevoelige informatie die nodig is voor het genereren van de privésleutel. Het vastgelegde materiaal is voldoende voor de bedreigingsacteur om de privésleutel aan zijn einde opnieuw te genereren.

“De malware voegt logica voor het stelen van crypto-portemonnees toe aan een crypto-portemonnee-pakket. Telkens wanneer een legitieme gebruiker de logica maakt of gebruikt die geheugensteuntjes leest – die in feite de hoofdsleutel zijn voor elke crypto-portemonnee, leest de malware ze en stuurt ze naar de externe server”, aldus OX Security.

In een poging om het aantal uitgaande verzoeken te verminderen, is het exfiltratiemechanisme ontworpen om meerdere sleutelafleidingen in een tijdsbestek van twee seconden toe te voegen aan een enkele wachtrij en deze vervolgens in de vorm van een HTTPS POST-verzoek naar een externe server (“testnet.archival.chain.grpc-web.injective(.)network”) in één baken te sturen.

StepSecurity merkte op dat de kwaadaardige release mogelijk werd gemaakt via de eigen Trusted Publisher (OIDC) pijplijn van de repository, en voegde eraan toe dat de kwaadaardige commits werden geschreven en gepusht onder de identiteit van een bestaande, vertrouwde onderhouder (“thomasRalee”).

Gebruikers die de kwaadaardige versie hebben geïnstalleerd, wordt aangeraden om bij te werken naar de nieuw gepubliceerde, schone versie van het pakket (1.20.23), elke privésleutel of geheugensteun die door het pakket wordt doorgegeven als gecompromitteerd te behandelen en deze te roteren, en te controleren op transitieve afhankelijkheden.

Thijs Van der Does