🔥 Fique por dentro das novidades mais quentes do momento! 🔥

Não deixe essa passar: clique e saiba tudo!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers comprometeram o repositório GitHub do projeto Injective Labs SDK e o usaram para publicar um pacote malicioso no Node Package Manager (npm) que roubou chaves privadas de carteiras de criptomoedas e frases mnemônicas.

As empresas de segurança de aplicativos Socket, Ox Security e StepSecurity detectaram o ataque à cadeia de suprimentos por meio da versão 1.20.21 do pacote @injectivelabs/sdk-ts npm.

Injective SDK é um kit de desenvolvimento de software (SDK) TypeScript/JavaScript para construir aplicativos no blockchain Injective, um blockchain de camada 1 focado em finanças descentralizadas (DeFi), ativos tokenizados e exchanges descentralizadas.



O pacote tem 50.000 downloads semanais no npm e é usado por desenvolvedores que criam carteiras de criptomoedas, bots de negociação, exchanges descentralizadas, aplicativos DeFi e ferramentas de pagamento.

Segundo os pesquisadores, o invasor comprometeu uma conta GitHub pertencente a um contribuidor legítimo do projeto e fez os primeiros commits suspeitos em 8 de junho, publicando a versão maliciosa do pacote logo depois.

O invasor também publicou a versão 1.20.21 para outros 17 pacotes associados ao projeto, fixando todos eles na versão comprometida do SDK.

O proprietário legítimo da conta detectou o comprometimento em minutos, reverteu as alterações e publicou uma versão limpa, versão 1.20.23.

No entanto, os sistemas dos desenvolvedores que buscavam os pacotes maliciosos por meio de uma atualização ou os usavam provavelmente foram comprometidos.

Socket diz que a versão maliciosa do pacote foi baixada 310 vezes antes de ser obsoleta, não removida, e os artefatos maliciosos de lançamento do GitHub ainda estão disponíveis.

Os pesquisadores também observam que o pacote tem 87 dependências diretas do npm e muito provavelmente múltiplas dependências transitivas adicionais.

Um relatório da Ox Security alerta que os 87 pacotes dependentes tiveram uma contagem cumulativa de downloads de pouco mais de 112.000.

Visando carteiras de criptomoedas

O malware é ativado quando os desenvolvedores usam funções do SDK que geram ou importam chaves de carteira, e não após a instalação.

Depois que essas funções são chamadas, o malware captura a frase-semente mnemônica completa e a chave privada e codifica os dados em base64. Todas as informações são exfiltradas por meio de uma solicitação HTTP POST para um endpoint de infraestrutura pública do Injective Labs para fazer o tráfego parecer legítimo.

StepSecurity relata que o malware não transmitiu imediatamente segredos roubados, mas em vez disso colocou várias chaves e mnemônicos na fila por dois segundos, agrupou-os no cabeçalho da solicitação HTTP e os enviou.

Os invasores podem então usar o mnemônico ou a chave privada para portar as carteiras da vítima para seus próprios dispositivos e acessar, usar ou transferir seus ativos digitais.

Os desenvolvedores que suspeitarem de comprometimento devem transferir suas criptomoedas para novas carteiras e alternar todos os segredos em seu ambiente.









Teste todas as camadas antes que os invasores o façam

As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.

Obtenha o whitepaper



Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #injective #sdk #em #npm #infectado #com #ladrão #de #carteira #de #criptomoeda
🎉 Obrigado por acompanhar, até a próxima notícia!

Post a Comment