Хакеры предприняли попытку внедрить скрытый бэкдор в npm-пакет Injective — программную библиотеку, используемую разработчиками для интеграции кошельков и взаимодействия с блокчейн-экосистемой Injective. Цель атаки — кража приватных ключей от кошельков пользователей, что создает прямую угрозу для децентрализованных приложений (dApps) и их клиентов.
Злоумышленники внедрили вредоносный код в зависимости npm-пакета Injective. При установке или обновлении пакета разработчиками бэкдор активировался и начинал собирать чувствительные данные, включая:
- приватные ключи от кошельков;
- сид-фразы (seed phrases);
- данные о транзакциях и подписываемых сообщениях.
Собранная информация отправлялась на удаленный сервер, контролируемый хакерами. Таким образом, атака была нацелена не на конечных пользователей напрямую, а на разработчиков и приложения, которые используют уязвимую библиотеку в своих проектах.
Под удар попали:
- Разработчики dApps, использующие Injective в своих проектах — они могли неосознанно скомпрометировать собственные системы и кошельки.
- Конечные пользователи, чьи кошельки обрабатывались через скомпрометированные приложения — их ключи могли быть перехвачены без их ведома.
- DeFi-протоколы и сервисы на базе Injective, интегрирующие npm-пакет в свои бэкенд-системы.
Инцидент был выявлен исследователями из компании Socket, специализирующейся на безопасности программных зависимостей. Они обнаружили подозрительную активность в обновленной версии пакета и оперативно уведомили команду Injective.
На данный момент:
- уязвимая версия пакета была отозвана;
- выпущена чистая версия без вредоносного кода;
- разработчикам рекомендовано немедленно обновить зависимости и проверить свои системы на предмет компрометации.
Попытка внедрения бэкдора в популярный блокчейн-пакет — это серьезный сигнал для всей индустрии. npm-экосистема остается одной из самых уязвимых точек входа для атак на цепочки поставок (supply chain attacks). По данным Socket, подобные инциденты участились в 2025–2026 годах, и атаки становятся все более изощренными.
Особую тревогу вызывает тот факт, что атака была нацелена именно на криптовалютный кошелек — это указывает на финансовый мотив злоумышленников и высокий уровень подготовки.
Что делать разработчикам и пользователям
Для разработчиков:
- проверить версию пакета Injective в своих проектах и обновить до актуальной чистой версии;
- провести аудит логов на предмет подозрительных исходящих запросов;
- при подозрении на компрометацию — немедленно ротировать ключи и сид-фразы.
Для пользователей:
- временно избегать использования незнакомых или непроверенных dApps на базе Injective;
- следить за официальными анонсами команды Injective;
- при подозрении на взлом кошелька — немедленно перевести средства на новый безопасный адрес.
Атака на Injective — еще одно напоминание о том, что безопасность в децентрализованных экосистемах зависит не только от блокчейн-протокола, но и от всей цепочки разработки программного обеспечения. Инцидент поднимает вопросы о необходимости более жесткого контроля над зависимостями в npm, усиления проверок перед публикацией пакетов и внедрения автоматических систем обнаружения аномалий. Пока попытка была предотвращена, но она демонстрирует, что хакеры продолжают искать уязвимости в инфраструктуре, а не только в смарт-контрактах.
Злоумышленники внедрили вредоносный код в зависимости npm-пакета Injective. При установке или обновлении пакета разработчиками бэкдор активировался и начинал собирать чувствительные данные, включая:
- приватные ключи от кошельков;
- сид-фразы (seed phrases);
- данные о транзакциях и подписываемых сообщениях.
Собранная информация отправлялась на удаленный сервер, контролируемый хакерами. Таким образом, атака была нацелена не на конечных пользователей напрямую, а на разработчиков и приложения, которые используют уязвимую библиотеку в своих проектах.
Под удар попали:
- Разработчики dApps, использующие Injective в своих проектах — они могли неосознанно скомпрометировать собственные системы и кошельки.
- Конечные пользователи, чьи кошельки обрабатывались через скомпрометированные приложения — их ключи могли быть перехвачены без их ведома.
- DeFi-протоколы и сервисы на базе Injective, интегрирующие npm-пакет в свои бэкенд-системы.
Инцидент был выявлен исследователями из компании Socket, специализирующейся на безопасности программных зависимостей. Они обнаружили подозрительную активность в обновленной версии пакета и оперативно уведомили команду Injective.
На данный момент:
- уязвимая версия пакета была отозвана;
- выпущена чистая версия без вредоносного кода;
- разработчикам рекомендовано немедленно обновить зависимости и проверить свои системы на предмет компрометации.
Попытка внедрения бэкдора в популярный блокчейн-пакет — это серьезный сигнал для всей индустрии. npm-экосистема остается одной из самых уязвимых точек входа для атак на цепочки поставок (supply chain attacks). По данным Socket, подобные инциденты участились в 2025–2026 годах, и атаки становятся все более изощренными.
Особую тревогу вызывает тот факт, что атака была нацелена именно на криптовалютный кошелек — это указывает на финансовый мотив злоумышленников и высокий уровень подготовки.
Что делать разработчикам и пользователям
Для разработчиков:
- проверить версию пакета Injective в своих проектах и обновить до актуальной чистой версии;
- провести аудит логов на предмет подозрительных исходящих запросов;
- при подозрении на компрометацию — немедленно ротировать ключи и сид-фразы.
Для пользователей:
- временно избегать использования незнакомых или непроверенных dApps на базе Injective;
- следить за официальными анонсами команды Injective;
- при подозрении на взлом кошелька — немедленно перевести средства на новый безопасный адрес.
Атака на Injective — еще одно напоминание о том, что безопасность в децентрализованных экосистемах зависит не только от блокчейн-протокола, но и от всей цепочки разработки программного обеспечения. Инцидент поднимает вопросы о необходимости более жесткого контроля над зависимостями в npm, усиления проверок перед публикацией пакетов и внедрения автоматических систем обнаружения аномалий. Пока попытка была предотвращена, но она демонстрирует, что хакеры продолжают искать уязвимости в инфраструктуре, а не только в смарт-контрактах.