SecBoard
Zurück zur Übersicht

Injective SDK on npm infected with cryptocurrency wallet stealer

BleepingComputer·
Originalartikel lesen bei BleepingComputer

Ein kompromittiertes GitHub-Repository von Injective Labs wurde genutzt, um ein bösartiges Paket auf npm zu veröffentlichen. Dieses stahl private Schlüssel und Seed-Phrasen von Kryptowährungs-Wallets. Nutzer, die das Injective SDK verwenden, sollten ihre Wallets umgehend sichern und auf verdächtige Aktivitäten prüfen.

Kurzfassung

Ein kompromittiertes GitHub-Repository von Injective Labs führte zur Veröffentlichung eines bösartigen Pakets auf npm. Dieses Paket stahl private Schlüssel und Seed-Phrasen von Kryptowährungs-Wallets. Nutzer des Injective SDK sind betroffen und sollten umgehend Maßnahmen ergreifen.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Nutzer, die das Injective SDK heruntergeladen und verwendet haben.

Warum relevant

Organisationen, die das Injective SDK in ihren Anwendungen oder Systemen nutzen, könnten einem direkten Diebstahl von Kryptowährungs-Assets ausgesetzt sein. Dies kann zu erheblichen finanziellen Verlusten führen.

Realistisches Worst Case

Vollständiger Verlust von Kryptowährungs-Assets aus Wallets, deren private Schlüssel oder Seed-Phrasen durch das bösartige Paket kompromittiert wurden.

Handlungsempfehlung

Alle privaten Schlüssel und Seed-Phrasen, die möglicherweise exponiert wurden, widerrufen oder migrieren. Das Injective SDK auf eine saubere Version aktualisieren und auf verdächtige Transaktionen prüfen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie alle Systeme, die das Injective SDK verwenden, auf die Installation der kompromittierten Version.
  • Scannen Sie Entwicklungsumgebungen und Build-Pipelines auf verdächtige Netzwerkverbindungen oder Dateizugriffe, die auf den Diebstahl von Wallet-Informationen hindeuten könnten.
  • Überprüfen Sie die Integrität aller installierten npm-Pakete, insbesondere des Injective SDK, um sicherzustellen, dass keine manipulierten Versionen verwendet werden.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1195 Supply Chain CompromiseHighEin kompromittiertes GitHub-Repository von Injective Labs wurde genutzt, um ein bösartiges Paket auf npm zu veröffentlichen.
Credential AccessT1552 Unsecured CredentialsHighDieses stahl private Schlüssel und Seed-Phrasen von Kryptowährungs-Wallets.
Offene Punkte
  • Der genaue Zeitraum, in dem das bösartige Paket auf npm verfügbar war, ist nicht angegeben.
  • Die spezifische Version des Injective SDK, die kompromittiert wurde, ist nicht angegeben.
  • Die Methode, mit der das GitHub-Repository kompromittiert wurde, ist nicht angegeben.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Möglich
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Credential Access detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)

Credential Access
Themen
SecurityCryptoCurrency