Injective Labs, merkeziyetsiz finans (DeFi) ekosisteminde önemli bir oyuncu olarak bilinirken, son günlerde ciddi bir siber saldırıyla karşı karşıya kaldı. Saldırganlar, Injective Labs SDK projesinin GitHub deposunu ele geçirerek npm (Node Package Manager) üzerinde kötü amaçlı bir paket yayınladı. Bu paket, kripto para cüzdanlarının özel anahtarlarını (private key) ve mnemonic tohum ifadelerini (seed phrase) çalmak için tasarlanmıştı. Güvenlik araştırmacıları, olayın yazılım tedarik zinciri saldırılarına dair yeni bir uyarı niteliği taşıdığını belirtiyor.
Saldırı, @injectivelabs/sdk-ts paketinin 1.20.21 sürümü üzerinden gerçekleştirildi. Bu sürüm, 8 Temmuz 2026'da yayınlanmış olsa da, kısa süre sonra npm kaydından kaldırıldı. Ancak, GitHub üzerindeki yayın yapıtları hala indirilebilir durumda. Güvenlik firması Socket'in raporuna göre, kötü amaçlı işlevsellik, depoya daha önce katkıda bulunmuş bir geliştirici hesabı aracılığıyla eklenen commit'lerle dahil edildi. Saldırgan, meşru bir katkıcı kimliğini kullanarak güvenlik önlemlerini aştı.
Saldırının en dikkat çekici yanı, yalnızca bir paketi değil, aynı pakete bağımlı olan 17 farklı @injectivelabs kapsamlı paketi de etkilemesi. Bu paketler arasında @injectivelabs/utils, @injectivelabs/networks, @injectivelabs/wallet-base, @injectivelabs/wallet-core ve @injectivelabs/wallet-cosmos gibi kritik kütüphaneler yer alıyor. Bu sayede, doğrudan kötü amaçlı sürümü yüklemeyen, ancak bu paketlere bağımlı olan kullanıcılar da risk altına girdi. Yani saldırı, transitif bağımlılıklar yoluyla yayılarak daha geniş bir kitleyi hedef aldı.
Gelecekte Ne Bekleniyor?
Kötü amaçlı yazılım, teknik olarak oldukça basit ve doğrudan çalışıyor. Normalde npm paketlerinde yaygın olarak kullanılan lifecycle script'leri (kurulum sırasında çalışan betikler) devre dışı bırakılarak, yazılımın fark edilmeden çalışması sağlanmış. Saldırgan, meşru işlevleri değiştirerek, özel anahtar oluşturma sürecine 'trackKeyDerivation()' adlı bir fonksiyon eklemiş. Bu fonksiyon, SDK optimizasyonu için anonim kullanım metrikleri topladığı iddiasıyla, aslında hassas bilgileri dışarı sızdırıyor. Parametreler arasında özel anahtarın oluşturulma yöntemi (hex veya mnemonic) ve anahtarı yeniden oluşturmak için yeterli bilgi yer alıyor. Bu veriler, saldırganın kendi tarafında aynı anahtarı yeniden üretebilmesine olanak tanıyor.
Veri sızdırma mekanizması, ağ trafiğini gizlemek için özel olarak tasarlanmış. İki saniyelik bir zaman diliminde birden fazla anahtar türetme işlemini bir kuyrukta toplayarak, tek bir HTTPS POST isteğiyle 'testnet.archival.chain.grpc-web.injective[.]network' adresine gönderiyor. Bu yöntem, çok sayıda ağ isteği oluşturmaktan kaçınarak tespit edilme riskini azaltıyor. OX Security araştırmacıları, yazılımın her mnemonic ifade okunduğunda çalıştığını ve bu ifadeleri uzak sunucuya ilettiğini belirtiyor. Mnemonic ifadeler, kripto cüzdanlar için ana anahtar niteliğinde olduğundan, çalınmaları cüzdanın tamamen ele geçirilmesi anlamına geliyor.
Kullanıcılar için en kritik adım, derhal @injectivelabs/sdk-ts paketini temiz sürüm olan 1.20.23'e güncellemek. Ayrıca, bu paket aracılığıyla oluşturulan veya kullanılan tüm özel anahtarlar ve mnemonic ifadeler tehlikeye girmiş kabul edilmeli ve derhal değiştirilmelidir. Transitif bağımlılıkları kontrol etmek de önemli; çünkü doğrudan etkilenmeyen projeler bile dolaylı yoldan risk altında olabilir. Bu olay, yazılım tedarik zinciri güvenliğinin ne kadar kırılgan olduğunu bir kez daha gözler önüne seriyor. Geliştiricilerin, üçüncü taraf paketleri kullanırken dikkatli olmaları ve güvenlik güncellemelerini takip etmeleri hayati önem taşıyor.
Kaynak: thehackernews.com