SecBoard
Zurück zur Übersicht

Injective Labs GitHub Compromise Pushes Wallet-Key-Stealing npm Packages

The Hacker News·
Originalartikel lesen bei The Hacker News

Unbekannte Angreifer kompromittierten das GitHub-Repository von Injective Labs und nutzten es, um ein bösartiges npm-Paket zu veröffentlichen. Dieses Paket, @injectivelabs/sdk-ts@1.20.21, stahl private Schlüssel und Seed-Phrasen von Kryptowährungs-Wallets. Nutzer, die diese Version heruntergeladen haben, sind betroffen und sollten umgehend ihre Wallets sichern und Passwörter ändern.

Kurzfassung

Unbekannte Angreifer kompromittierten das GitHub-Repository von Injective Labs und veröffentlichten ein bösartiges npm-Paket. Dieses Paket, `@injectivelabs/sdk-ts@1.20.21`, wurde entwickelt, um private Schlüssel und Seed-Phrasen von Kryptowährungs-Wallets zu stehlen. Nutzer, die diese spezifische Version heruntergeladen haben, sind betroffen und müssen umgehend handeln.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Nutzer, die die npm-Paketversion `@injectivelabs/sdk-ts@1.20.21` heruntergeladen und verwendet haben.

Warum relevant

Organisationen, die Injective Labs SDK in ihren Anwendungen nutzen oder deren Nutzer dies tun, sind einem direkten Risiko des Verlusts von Kryptowährungs-Assets ausgesetzt. Die Kompromittierung eines offiziellen Software-Supply-Chain-Kanals untergräbt das Vertrauen und zeigt die Notwendigkeit robuster Überprüfungen.

Realistisches Worst Case

Verlust aller Kryptowährungs-Assets in den Wallets der betroffenen Nutzer, die mit der kompromittierten SDK-Version interagiert haben.

Handlungsempfehlung

Überprüfen Sie umgehend, ob die npm-Paketversion `@injectivelabs/sdk-ts@1.20.21` in Ihren Projekten oder den Projekten Ihrer Nutzer verwendet wird. Falls ja, isolieren Sie betroffene Systeme, widerrufen Sie Wallet-Berechtigungen und transferieren Sie Gelder in neue, sichere Wallets. Informieren Sie betroffene Nutzer über die notwendigen Schritte.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie alle Projekt-Dependencies (package.json, package-lock.json, yarn.lock) auf die genaue Version `@injectivelabs/sdk-ts@1.20.21`.
  • Scannen Sie Ihre Codebasis nach Hashes oder Signaturen bekannter bösartiger npm-Pakete, falls diese verfügbar sind (nicht im Artikel spezifiziert).
  • Überprüfen Sie Audit-Logs von GitHub oder anderen Code-Repositorys auf unautorisierte Commits oder Paket-Veröffentlichungen, die mit dem Vorfallzeitraum übereinstimmen (nicht im Artikel spezifiziert).
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1195 Supply Chain CompromiseHighUnbekannte Angreifer kompromittierten das GitHub-Repository von Injective Labs und nutzten es, um ein bösartiges npm-Paket zu veröffentlichen.
CollectionT1552 Unsecured CredentialsHighDieses Paket, @injectivelabs/sdk-ts@1.20.21, stahl private Schlüssel und Seed-Phrasen von Kryptowährungs-Wallets.
Offene Punkte
  • Wie die Angreifer Zugang zum GitHub-Repository von Injective Labs erlangten, ist nicht spezifiziert.
  • Der genaue Zeitpunkt der Kompromittierung und der Veröffentlichung des bösartigen Pakets ist nicht spezifiziert.
  • Ob es weitere kompromittierte Versionen oder Pakete gibt, ist nicht spezifiziert.
  • Die genaue Methode, wie das bösartige npm-Paket die Schlüssel stahl (z.B. durch Hooking, Dateizugriff), ist nicht spezifiziert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Möglich
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Credential Access detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)

Credential Access