Kompromi GitHub Injective Labs Mendorong Paket npm Pencurian Kunci Dompet
Rantai Pasokan Perangkat Lunak / Malware
Sumber: thehackernews. com
Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Pelaku ancaman yang tidak dikenal menyusupi repositori GitHub proyek Injective Labs SDK dan memanfaatkannya untuk menerbitkan paket berbahaya di registri npm untuk mencuri kunci…
Pelaku ancaman yang tidak dikenal menyusupi repositori GitHub proyek Injective Labs SDK dan memanfaatkannya untuk menerbitkan paket berbahaya di registri npm untuk mencuri kunci pribadi dompet mata uang kripto dan frase benih mnemonik.
Versi yang disusupi, @injectivelabs/sdk-ts@1. 20. 21, dilengkapi dengan fungsi telemetri palsu yang mengambil data dari dompet mata uang kripto. Versi ini dirilis pada 8 Juli 2026, tetapi sudah tidak digunakan lagi di registri. Meskipun demikian, artefak rilis milik versi yang disusupi masih tersedia untuk diunduh dari GitHub pada saat penulisan.
“Fungsi berbahaya tersebut diperkenalkan ke repositori resmi GitHub proyek melalui komitmen yang dikirimkan oleh akun GitHub milik pengembang dengan riwayat kontribusi yang mapan ke repositori tersebut,” kata Socket.
Perusahaan keamanan rantai pasokan perangkat lunak mengatakan pelaku ancaman di balik serangan itu juga menerbitkan versi 1. 20. 21 di 17 paket cakupan @injectivelabs tambahan yang bergantung pada dan menyematkan versi SDK berbahaya, sehingga menempatkan pengguna transitif yang mungkin belum menginstal perpustakaan secara langsung. Ini termasuk -
“Malware menambahkan logika pencurian dompet kripto ke paket dompet kripto, setiap kali pengguna yang sah membuat atau menggunakan logika yang membaca frasa mnemonik – yang pada dasarnya merupakan kunci utama untuk dompet kripto apa pun, malware membacanya dan mengirimkannya ke server jarak jauh,” kata OX Security.
Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.