Что нового?

Новости Хакеры пытались внедрить бэкдор в код Injective для кражи ключей

Новости

vitel59

Местный
Регистрация
15 Май 2026
Сообщения
324
Реакции
54
Coin
7,540
Хакеры предприняли попытку внедрить скрытый бэкдор в npm-пакет Injective — программную библиотеку, используемую разработчиками для интеграции кошельков и взаимодействия с блокчейн-экосистемой Injective. Цель атаки — кража приватных ключей от кошельков пользователей, что создает прямую угрозу для децентрализованных приложений (dApps) и их клиентов.

Злоумышленники внедрили вредоносный код в зависимости npm-пакета Injective. При установке или обновлении пакета разработчиками бэкдор активировался и начинал собирать чувствительные данные, включая:

- приватные ключи от кошельков;
- сид-фразы (seed phrases);
- данные о транзакциях и подписываемых сообщениях.

Собранная информация отправлялась на удаленный сервер, контролируемый хакерами. Таким образом, атака была нацелена не на конечных пользователей напрямую, а на разработчиков и приложения, которые используют уязвимую библиотеку в своих проектах.

Под удар попали:

- Разработчики dApps, использующие Injective в своих проектах — они могли неосознанно скомпрометировать собственные системы и кошельки.
- Конечные пользователи, чьи кошельки обрабатывались через скомпрометированные приложения — их ключи могли быть перехвачены без их ведома.
- DeFi-протоколы и сервисы на базе Injective, интегрирующие npm-пакет в свои бэкенд-системы.

Инцидент был выявлен исследователями из компании Socket, специализирующейся на безопасности программных зависимостей. Они обнаружили подозрительную активность в обновленной версии пакета и оперативно уведомили команду Injective.

На данный момент:

- уязвимая версия пакета была отозвана;
- выпущена чистая версия без вредоносного кода;
- разработчикам рекомендовано немедленно обновить зависимости и проверить свои системы на предмет компрометации.

Попытка внедрения бэкдора в популярный блокчейн-пакет — это серьезный сигнал для всей индустрии. npm-экосистема остается одной из самых уязвимых точек входа для атак на цепочки поставок (supply chain attacks). По данным Socket, подобные инциденты участились в 2025–2026 годах, и атаки становятся все более изощренными.

Особую тревогу вызывает тот факт, что атака была нацелена именно на криптовалютный кошелек — это указывает на финансовый мотив злоумышленников и высокий уровень подготовки.

Что делать разработчикам и пользователям

Для разработчиков:


- проверить версию пакета Injective в своих проектах и обновить до актуальной чистой версии;
- провести аудит логов на предмет подозрительных исходящих запросов;
- при подозрении на компрометацию — немедленно ротировать ключи и сид-фразы.

Для пользователей:

- временно избегать использования незнакомых или непроверенных dApps на базе Injective;
- следить за официальными анонсами команды Injective;
- при подозрении на взлом кошелька — немедленно перевести средства на новый безопасный адрес.

Атака на Injective — еще одно напоминание о том, что безопасность в децентрализованных экосистемах зависит не только от блокчейн-протокола, но и от всей цепочки разработки программного обеспечения. Инцидент поднимает вопросы о необходимости более жесткого контроля над зависимостями в npm, усиления проверок перед публикацией пакетов и внедрения автоматических систем обнаружения аномалий. Пока попытка была предотвращена, но она демонстрирует, что хакеры продолжают искать уязвимости в инфраструктуре, а не только в смарт-контрактах.
 
Показательный кейс supply chain-атаки: бьют не по блокчейну, а по библиотеке, которой все доверяют по умолчанию. Самое неприятное тут то, что компрометация зависимостей часто проходит вообще незаметно — поставили обновление, CI отработал, приложение живо, а ключи уже могут утекать.

Для крипто-экосистемы это особенно критично, потому что утечка сидов и приватников — это не “может быть проблема”, а почти гарантированная потеря средств. И если библиотека реально имела доступ к таким данным, последствия могли быть очень тяжелыми не только для разработчиков, но и для пользователей dApps.

История еще раз показывает, что npm-пакеты нельзя тянуть и обновлять вслепую. Нужны lockfile, пинning версий, аудит зависимостей, мониторинг сетевой активности и принцип минимального доверия даже к популярным пакетам. Ну и хранение сид-фраз/ключей в приложениях, где JS-зависимость теоретически может их прочитать, само по себе уже красный флаг.

Хорошо, что это быстро заметили и отозвали версию, но осадок остается: таких попыток дальше будет только больше.
 
Сверху Снизу