Injective Labs GitHub Compromise Pushes Wallet-Key-Stealing npm Packages
Unbekannte Angreifer kompromittierten das GitHub-Repository von Injective Labs und nutzten es, um ein bösartiges npm-Paket zu veröffentlichen. Dieses Paket, @injectivelabs/sdk-ts@1.20.21, stahl private Schlüssel und Seed-Phrasen von Kryptowährungs-Wallets. Nutzer, die diese Version heruntergeladen haben, sind betroffen und sollten umgehend ihre Wallets sichern und Passwörter ändern.
Unbekannte Angreifer kompromittierten das GitHub-Repository von Injective Labs und veröffentlichten ein bösartiges npm-Paket. Dieses Paket, `@injectivelabs/sdk-ts@1.20.21`, wurde entwickelt, um private Schlüssel und Seed-Phrasen von Kryptowährungs-Wallets zu stehlen. Nutzer, die diese spezifische Version heruntergeladen haben, sind betroffen und müssen umgehend handeln.
Nutzer, die die npm-Paketversion `@injectivelabs/sdk-ts@1.20.21` heruntergeladen und verwendet haben.
Organisationen, die Injective Labs SDK in ihren Anwendungen nutzen oder deren Nutzer dies tun, sind einem direkten Risiko des Verlusts von Kryptowährungs-Assets ausgesetzt. Die Kompromittierung eines offiziellen Software-Supply-Chain-Kanals untergräbt das Vertrauen und zeigt die Notwendigkeit robuster Überprüfungen.
Verlust aller Kryptowährungs-Assets in den Wallets der betroffenen Nutzer, die mit der kompromittierten SDK-Version interagiert haben.
Überprüfen Sie umgehend, ob die npm-Paketversion `@injectivelabs/sdk-ts@1.20.21` in Ihren Projekten oder den Projekten Ihrer Nutzer verwendet wird. Falls ja, isolieren Sie betroffene Systeme, widerrufen Sie Wallet-Berechtigungen und transferieren Sie Gelder in neue, sichere Wallets. Informieren Sie betroffene Nutzer über die notwendigen Schritte.
- ▸Überprüfen Sie alle Projekt-Dependencies (package.json, package-lock.json, yarn.lock) auf die genaue Version `@injectivelabs/sdk-ts@1.20.21`.
- ▸Scannen Sie Ihre Codebasis nach Hashes oder Signaturen bekannter bösartiger npm-Pakete, falls diese verfügbar sind (nicht im Artikel spezifiziert).
- ▸Überprüfen Sie Audit-Logs von GitHub oder anderen Code-Repositorys auf unautorisierte Commits oder Paket-Veröffentlichungen, die mit dem Vorfallzeitraum übereinstimmen (nicht im Artikel spezifiziert).
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1195 Supply Chain Compromise | High | Unbekannte Angreifer kompromittierten das GitHub-Repository von Injective Labs und nutzten es, um ein bösartiges npm-Paket zu veröffentlichen. |
| Collection | T1552 Unsecured Credentials | High | Dieses Paket, @injectivelabs/sdk-ts@1.20.21, stahl private Schlüssel und Seed-Phrasen von Kryptowährungs-Wallets. |
- Wie die Angreifer Zugang zum GitHub-Repository von Injective Labs erlangten, ist nicht spezifiziert.
- Der genaue Zeitpunkt der Kompromittierung und der Veröffentlichung des bösartigen Pakets ist nicht spezifiziert.
- Ob es weitere kompromittierte Versionen oder Pakete gibt, ist nicht spezifiziert.
- Die genaue Methode, wie das bösartige npm-Paket die Schlüssel stahl (z.B. durch Hooking, Dateizugriff), ist nicht spezifiziert.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Möglich
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Können wir Credential Access detektieren?