Хакеры атаковали npm-пакет Injective для кражи ключей от кошельков: 300 загрузок

Хакеры атаковали npm-пакет Injective для кражи ключей от кошельков: 300 загрузок

Специалисты компании Socket обнаружили, что популярный npm-пакет @injectivelabs/sdk-ts, используемый для создания приложений на блокчейне Injective, был скомпрометирован злоумышленниками. Вредоносный код был внедрён в версию 1.20.21 и предназначен для кражи приватных ключей и seed-фраз криптокошельков.

Атака стала возможной из-за взлома учётной записи разработчика на GitHub. С 8 июня в репозиторий вносились подозрительные изменения, а затем обновлённый пакет был распространён через менеджер пакетов npm. Кроме того, вредоносная версия была прикреплена к 17 другим пакетам в той же области Injective Labs, что расширило потенциальную аудиторию жертв.

Вредоносный код перехватывал стандартные функции генерации ключей кошелька и при каждом их вызове копировал seed-фразу или приватный ключ. Собранные данные шифровались и отправлялись на веб-адрес, имитирующий легитимный сервер Injective. Как отметили в Socket, любые ключи, попавшие в заражённые пакеты, следует считать скомпрометированными.

По данным отчёта, пакет был загружен 310 раз. Разработчик, чей аккаунт был взломан, быстро заметил инцидент и удалил вредоносную версию. Генеральный директор Injective Эрик Чен подтвердил, что проблема устранена, а затронутые версии помечены как устаревшие. Он также заявил, что средства пользователей в сети не пострадали.

Этот инцидент — часть растущей тенденции supply chain-атак, когда злоумышленники не взламывают сам блокчейн, а атакуют инструменты разработчиков. Ранее аналогичные атаки были зафиксированы на пакеты Axios и TrapDoor. По данным Security Alliance, в первом полугодии 2026 года атаки на кошельки стали самым дорогостоящим вектором: украдено $444 млн в 33 инцидентах.

Разработчикам рекомендуется проверять целостность зависимостей и использовать только проверенные версии пакетов. Сама сеть Injective за последние два года потеряла 88% заблокированной стоимости (с $71 млн до $8,2 млн), но инцидент не повлиял на работу протокола.