Злоумышленники попытались внедрить бэкдор в официальный npm-пакет блокчейн-платформы InjectiveINJ$4.87-0.89%, чтобы похитить приватные ключи пользовательских кошельков. Исследователи из Socket обнаружили угрозу до того, как вредоносный код распространился через автоматические обновления зависимостей.
Как хакеры планировали перехватить ключи кошельков Injective
В репозиторий npm была загружена модифицированная версия пакета Injective, содержащая скрытый код для удалённого доступа к системе. Целью атаки был перехват данных криптовалютных кошельков, используемых в экосистеме Injective, и получение контроля над средствами пользователей.
Специалисты Socket, анализирующие безопасность пакетных менеджеров, выявили подозрительную активность и предупредили сообщество. По их словам, инцидент «значим для разработчиков и приложений, которые обрабатывают рабочие процессы кошельков Injective».
Бэкдор в npm-пакете мог бы скомпрометировать тысячи кошельков, если бы вредоносная версия была установлена через автоматические обновления зависимостей.
Почему атаки на npm становятся угрозой для криптоиндустрии
npm — крупнейший менеджер пакетов для JavaScript, широко используемый в разработке веб-приложений и блокчейн-инструментов. Разработчики часто подключают готовые библиотеки из npm, не проверяя каждый обновлённый файл вручную. Если хакеру удаётся внедрить вредоносный код в популярный пакет, он может получить доступ к данным тысяч проектов.
Напомним, что потеря приватных ключей стала причиной 40% крипто-краж на $16 млрд, и подобные атаки на пакеты лишь усугубляют эту проблему.
Атака на Injective была нацелена именно на автоматические обновления: достаточно было одобрить новую версию пакета, и бэкдор начал бы собирать ключи от кошельков всех пользователей, установивших обновление. Socket отметил, что попытку своевременно заблокировали, но подобные инциденты демонстрируют уязвимость цепочки поставок программного обеспечения в криптоиндустрии.
Чем компрометация Injective грозит пользователям DeFi
Атаки на менеджеры пакетов становятся всё более распространённым вектором в криптовалютной сфере. Ранее хакеры уже использовали npm для распространения вредоносных версий библиотек, связанных с EthereumETH$1,788.41+1.96% и другими блокчейнами. Уязвимость цепочки поставок (supply chain attack) позволяет злоумышленникам поражать сразу множество проектов, не взламывая каждый отдельно.
Injective — децентрализованная платформа для межсетевых деривативов и спот-торговли, построенная на CosmosATOM$1.58+1.75% SDK. Её кошельки активно используются для стейкинга, торговли и взаимодействия с DeFi-протоколами. Компрометация ключей могла бы привести к потере средств пользователей, включая участников из России и стран СНГ, где Injective имеет заметную аудиторию.
Разработчикам рекомендуется проверять контрольные суммы пакетов npm и использовать инструменты автоматического аудита безопасности перед установкой обновлений.
Socket продолжает мониторинг репозиториев на предмет подобных угроз. Инцидент подчёркивает необходимость усиления безопасности в процессе разработки: даже доверенные пакеты могут быть скомпрометированы, если команда не контролирует процесс публикации новых версий.
Пока неизвестно, удалось ли хакерам успешно атаковать какие-либо проекты до блокировки вредоносного пакета. Сообществу Injective рекомендовано провести аудит своих зависимостей и убедиться, что используемая версия пакета не содержит подозрительных изменений. Останется ли цепочка поставок npm главной мишенью для злоумышленников в 2024 году?