اختراق Injective SDK على npm يكشف خطر سرقة مفاتيح المحافظ
قالت Socket وOx Security وStepSecurity إنها رصدت شيفرة لسرقة مفاتيح المحافظ في حزمة @injectivelabs/sdk-ts على npm بالإصدار 1.20.21 بعد اختراق حساب مساهم في Injective Labs. وقالت Socket إن الإصدار الخبيث نزل 310 مرات قبل وضع علامة deprecation عليه، بينما أحصت Ox Security 87 اعتمادا مباشرا ووصفت عدد تنزيلات تراكميا من ست خانات عبر الحزم المعتمدة.

دفع اختراق حساب مطور مرتبط بـ Injective Labs شيفرة لسرقة مفاتيح المحافظ داخل حزمة npm مستخدمة على نطاق واسع، ما عرّض مطوري DeFi للخطر عندما أنشأوا أو استوردوا مفاتيح باستخدام SDK المتأثر.
قالت Socket وOx Security وStepSecurity إنها رصدت هجوم سلسلة التوريد في حزمة @injectivelabs/sdk-ts الخبيثة على npm بالإصدار 1.20.21. وقال الباحثون إن الحزمة تخدم مطورين يبنون على بلوكتشين Injective ولها 50,000 عملية تنزيل أسبوعية على npm.
حزمة Injective SDK على npm بالإصدار 1.20.21 سرقت مفاتيح المحافظ
الحزمة المتأثرة هي SDK بلغة TypeScript وJavaScript المستخدم لبناء تطبيقات على Injective، وهي بلوكتشين Layer-1 تركز على التمويل اللامركزي والأصول المرمزة والبورصات اللامركزية. وحدد الباحثون محافظ العملات المشفرة وروبوتات التداول والبورصات اللامركزية وتطبيقات DeFi وأدوات الدفع كاستخدامات شائعة للحزمة.
قال الباحثون إن حساب GitHub يعود إلى مساهم شرعي في المشروع جرى الاستيلاء عليه قبل ظهور commits مشبوهة في 8 يونيو. وقالوا إن إصدار npm الخبيث تبع ذلك بعد وقت قصير، محولا مسار تحديث برمجي عادي إلى طريق لكشف مفاتيح المحافظ.
17 حزمة مرتبطة أشارت إلى SDK المخترق
قال الباحثون إن المهاجم نشر أيضا الإصدار 1.20.21 لعدد آخر من حزم المشروع المرتبطة بلغ 17 حزمة. وثبتت تلك الحزم اعتمادها على إصدار SDK المخترق، ما وسع الخطر إلى ما يتجاوز المطورين الذين ثبتوا SDK مباشرة.
قال الباحثون إن مالك الحساب الشرعي اكتشف الاختراق خلال دقائق، وأعاد التغييرات، ونشر إصدارا نظيفا برقم 1.20.23. وقالت Socket إن الحزمة الخبيثة نزلت 310 مرات قبل وضع علامة deprecation عليها لا إزالتها، وقالت إن ملفات إصدار GitHub الخبيثة بقيت متاحة.
Ox Security أحصت 87 اعتمادا مباشرا
قالت Socket إن الحزمة لها 87 اعتمادا مباشرا على npm ومن المرجح أن لديها تعرضا إضافيا عبر اعتمادات غير مباشرة. وقالت Ox Security إن تلك الحزم المعتمدة لها عدد تنزيلات تراكمي من ست خانات.
تصف هذه الأرقام مدى انتشار الحزمة في منظومة البرمجيات، لا سرقة محافظ مؤكدة. ولم يسم الباحثون مطورين أو بورصات أو مشغلي محافظ أو أدوات دفع متأثرة، ولم يقولوا ما إذا كانت أي عملات مشفرة قد نُقلت بالفعل بواسطة المهاجمين.
إنشاء المفاتيح شغل البرمجية الخبيثة
لم تعمل البرمجية الخبيثة بمجرد تثبيت المطور للحزمة. وقالت StepSecurity إنها تعمل عندما يستخدم المطورون وظائف SDK التي تنشئ أو تستورد مفاتيح المحافظ، ثم تلتقط عبارات mnemonic seed phrase الكاملة والمفاتيح الخاصة.
قالت StepSecurity إن البيانات المسروقة رُمزت بصيغة base64 وأرسلت عبر طلب HTTP POST إلى نقطة بنية تحتية عامة تابعة لـ Injective Labs حتى تبدو الحركة مشروعة. وقالت StepSecurity أيضا إن البرمجية الخبيثة جمعت عدة مفاتيح وعبارات mnemonic لفترة وجيزة قبل إرسالها في ترويسة الطلب.
نُصح المطورون الذين يشتبهون في تعرضهم بنقل العملات المشفرة إلى محافظ جديدة وتدوير كل الأسرار في بيئتهم. ولم تسم Socket وOx Security وStepSecurity المطورين المتأثرين أو تحويلات أموال مسروقة مؤكدة أو تاريخ إزالة كامل لملفات إصدار GitHub الخبيثة.


















