Injective Labs GitHub Hesabı Ele Geçirildi: Kripto Cüzdan Anahtarlarını Çalan npm Paketleri Yayınlandı Siber Güvenlik

Injective Labs GitHub Hesabı Ele Geçirildi: Kripto Cüzdan Anahtarlarını Çalan npm Paketleri Yayınlandı

Injective Labs'ın GitHub deposu ele geçirilerek yayınlanan kötü amaçlı npm paketleri, kripto cüzdan özel anahtarlarını çalıyor. Geliştiriciler derhal

Injective Labs'ın SDK projesinin GitHub deposu, kimliği belirsiz tehdit aktörleri tarafından ele geçirildi. Saldırganlar, bu depoyu kullanarak npm kayıt defterinde kripto para cüzdanlarının özel anahtarlarını ve mnemonic seed cümlelerini çalan kötü amaçlı bir paket yayınladı. Olay, yazılım tedarik zinciri güvenliği firmaları Socket, OX Security ve StepSecurity tarafından tespit edildi.

Tehdit aktörleri, @injectivelabs/sdk-ts paketinin 1.20.21 sürümünü ele geçirerek sahte bir telemetri işlevi ekledi. Bu işlev, aslında kripto cüzdan verilerini dışarı sızdırmak için tasarlanmıştı. Sürüm 8 Temmuz 2026'da yayınlandı ve kayıt defterinde kullanımdan kaldırıldı, ancak GitHub'daki sürüm yapıtları hâlâ indirilebilir durumda.

Socket'a göre, kötü amaçlı işlevsellik, depoya daha önce katkıda bulunmuş bir geliştiricinin GitHub hesabı aracılığıyla yapılan commit'lerle eklendi. Saldırgan, SDK'nın 1.20.21 sürümünü 17 farklı @injectivelabs kapsamlı pakete daha yayarak, doğrudan SDK'yı kurmayan kullanıcıları da hedef aldı. Bu paketler arasında @injectivelabs/utils, @injectivelabs/networks, @injectivelabs/ts-types ve çeşitli cüzdan paketleri bulunuyor.

Kötü amaçlı yazılım, kurulum sırasında değil, kütüphane işlevselliği kullanıldığında tetikleniyor. Bu sayede fark edilmeden çalışabiliyor. Özellikle, özel anahtar oluşturma iş akışlarında kullanılan meşru işlevler değiştirilerek, anonim kullanım metrikleri toplama bahanesiyle 'trackKeyDerivation()' adlı bir işlev eklenmiş. Bu işlev, aslında özel anahtar oluşturmak için kullanılan hassas bilgileri topluyor ve uzak bir sunucuya gönderiyor.

Detaylar ve Etkileri

OX Security, kötü amaçlı yazılımın her mnemonic cümle okuma işleminde cüzdan anahtarlarını çaldığını belirtiyor. Veri sızdırma mekanizması, iki saniyelik bir pencere içinde birden çok anahtar türetme işlemini bir kuyrukta toplayıp, HTTPS POST isteği olarak 'testnet.archival.chain.grpc-web.injective[.]network' adresine tek bir sinyal halinde gönderiyor. Bu, dışa dönük istek sayısını azaltarak tespit edilme riskini düşürüyor.

StepSecurity, kötü amaçlı sürümün, deponun güvenilir yayıncı (OIDC) hattı aracılığıyla dağıtıldığını ve kötü amaçlı commit'lerin mevcut güvenilir bir bakıcının ('thomasRalee') kimliğiyle yapıldığını tespit etti. Kullanıcılara, kötü amaçlı sürümü kaldırmaları ve temiz sürüm olan 1.20.23'e güncellemeleri öneriliyor. Ayrıca, paket aracılığıyla kullanılan tüm özel anahtarlar ve mnemonic cümleler tehlikeye girmiş sayılmalı ve değiştirilmelidir.

Kaynak: thehackernews.com

Paylaş: