A tangled ball of colorful wires with a shadowy
क्रिप्टो

Injective SDK में बैकडोर से निजी कुंजी और बीज वाक्यांशों…

@Injectivelabs/sdk-ts v1.20.21 को हटाने से पहले 310 बार डाउनलोड किया गया, और शोधकर्ताओं ने किसी भी उजागर वॉलेट के लिए कुंजी घुमाने की सिफारिश की।

AI News Crypto Editorial Team द्वारा5 मिनट का पठन

एक सप्लाई-चेन समझौता Injective के व्यापक रूप से उपयोग किए जाने वाले @injectivelabs/sdk-ts npm पैकेज को प्रभावित करता है, जिसमें हमलावरों ने संस्करण 1.20.21 को वॉलेट के निजी कुंजियों और बीज वाक्यांशों को चुराने के लिए संशोधित किया। दुर्भावनापूर्ण रिलीज़ को हटा दिया गया है और इसे अप्रचलित कर दिया गया है, लेकिन शोधकर्ताओं ने चेतावनी दी कि प्रभावित पैकेज द्वारा संभाले गए किसी भी रहस्य को समझौता किया हुआ माना जाना चाहिए।

मुख्य निष्कर्ष

  • एक दुर्भावनापूर्ण @injectivelabs/sdk-ts रिलीज़ (v1.20.21) को कैप्चर करने के लिए संशोधित किया गया थानिजी कुंजियाँऔर म्नेमोनिक्स को वॉलेट कुंजी-व्युत्पत्ति कार्यों को हुक करके और डेटा को “नकली टेलीमेट्री” के माध्यम से भेजकर।
  • SDK का फुटप्रिंट लगभग 50,000 साप्ताहिक डाउनलोड के साथ बड़ा है, भले ही विशेष रूप से समझौता किया गया संस्करण 310 डाउनलोड के बाद हटा दिया गया था।
  • एक्सपोजर जोखिम सीधे इंस्टॉलेशन से परे बढ़ता है क्योंकि v1.20.21 को Injective Labs npm स्कोप में 17 अन्य पैकेजों में पिन किया गया था।
  • शोधकर्ताओं ने सलाह दी कि प्रभावित पैकेजों के माध्यम से पास किए गए किसी भी कुंजी याबीज वाक्यांशोंको समझौता किया हुआ माना जाना चाहिए, जबकि Injective के CEO एरिक चेन ने कहा कि समस्या को ठीक कर दिया गया है और “नेटवर्क पर कोई फंड जोखिम में नहीं है,” जबकि प्रभावित संस्करणों को अप्रचलित कर दिया गया है।

Injective का npm SDK बैकडोर लक्षित वॉलेट रहस्य

एक सॉफ़्टवेयर सप्लाई-चेन हमले ने @injectivelabs/sdk-ts npm पैकेज में बैकडोर डालकर Injective डेवलपर टूलिंग को प्रभावित किया। Socket के सुरक्षा शोधकर्ताओं ने खुलासा किया कि संस्करण 1.20.21 को क्रिप्टो वॉलेट के निजी कुंजी और बीज वाक्यांश (म्नेमोनिक्स) चुराने के लिए संशोधित किया गया था, जो वॉलेट सुरक्षा पर एक सीधा हमला है, न कि प्रोटोकॉल स्तर की विफलता।

दुष्ट कोड हटा दिया गया है। Injective के CEO एरिक चेन ने कहा, "यह पहले ही ठीक हो चुका है, और npm पर प्रभावित संस्करण पहले ही अप्रचलित हो चुके हैं," और जोड़ा: "नेटवर्क पर कोई भी फंड जोखिम में नहीं है," इस घटना को एक निर्भरता समझौता के रूप में पेश करते हुए जो प्रभावित बिल्ड चलाने वाले डेवलपर्स और उपयोगकर्ताओं को प्रभावित कर सकता है, न कि Injective चेन को स्वयं।

कैसे v1.20.21 ने "फेक टेलीमेट्री" के माध्यम से कुंजियाँ निकालीं

सॉकेट का विवरण स्पष्ट है: “दुष्ट रिलीज़ हुक्स वॉलेट की कुंजी-व्युत्पत्ति कार्यों को पकड़ता है, निजी कुंजियों और म्नेमोनिक्स को रिकॉर्ड करता है, और उन्हें नकली टेलीमेट्री के माध्यम से बाहर निकालता है,” जिसका अर्थ है कि सामान्य वॉलेट निर्माण या व्युत्पत्ति प्रवाह चुपचाप रहस्यों को लीक कर सकते हैं।

घुसपैठ का मार्ग महत्वपूर्ण है। सॉकेट ने संशोधन को एक समझौता किए गए डेवलपर GitHub खाते से जोड़ा, जिसमें संदिग्ध कमिट 8 जून से शुरू हुए। यह उस अवधि के दौरान प्रभावित निर्भरता को स्थापित या निर्मित करने वाले किसी भी व्यक्ति के लिए एक स्पष्ट जोखिम विंडो बनाता है।

एक्सफिल्ट्रेशन को मिश्रित करने के लिए डिज़ाइन किया गया था। चुराए गए डेटा को कोडित किया गया और एक वेब पर भेजा गया।पताएक वैध Injective नेटवर्क सर्वर की तरह दिखने के लिए बनाया गया, जो क्रेडेंशियल चोरी के साथ संगत है जिसका उद्देश्य ऐप्स को तोड़ने या तुरंत अलार्म ट्रिगर करने से बचना है।

ब्लास्ट रेडियस: 50,000 साप्ताहिक डाउनलोड और 17 पिन किए गए पैकेज

पैकेज का पैमाना संचालन संबंधी समस्या है। @injectivelabs/sdk-ts लगभग 50,000 साप्ताहिक डाउनलोड देखता है, और सॉकेट ने उस फुटप्रिंट को "डेवलपर्स और अनुप्रयोगों के लिए महत्वपूर्ण" कहा जो Injective वॉलेट वर्कफ़्लोज़ को संभालते हैं। विशेष दुर्भावनापूर्ण रिलीज़ को हटाने से पहले 310 बार डाउनलोड किया गया, जो v1.20.21 की सीमित पुष्टि की गई वितरण का सुझाव देता है, लेकिन जरूरी नहीं कि डाउनस्ट्रीम एक्सपोजर सीमित हो।

दूसरे क्रम का जोखिम निर्भरता फैलाव है। सॉकेट ने कहा कि v1.20.21 को Injective Labs npm स्कोप में 17 अन्य पैकेजों के बीच पिन किया गया था, "उन उपयोगकर्ताओं को उजागर करते हुए जिन्होंने सीधे SDK स्थापित नहीं किया हो।" प्रायोगिक रूप से, पिन की गई निर्भरताएँ ट्रांजिटिव इंस्टॉलेशन के माध्यम से निर्माण में एक समझौता किए गए संस्करण को खींच सकती हैं, प्रभावित अनुप्रयोगों के सेट को उन टीमों से परे बढ़ाते हुए जो जानबूझकर SDK को अपडेट करती हैं।

मरम्मत केवल "अपडेट करें और आगे बढ़ें" नहीं है। सॉकेट ने चेतावनी दी: "कोई भी कुंजी या म्नेमोनिक्स जो प्रभावित पैकेजों के माध्यम से पास की गई हैं, उन्हें समझौता किया हुआ माना जाना चाहिए," जिसका अर्थ है वॉलेट माइग्रेशन और किसी भी रहस्य के लिए कुंजी घुमाव जो समझौता किए गए कोड को छूते हैं। सॉकेट ने यह भी कहा कि जिस डेवलपर के खाते में सेंध लगी थी, उसने जल्दी से समझौते का पता लगाया, लेकिन चेतावनी दी कि "अभियान अभी पूरी तरह से नियंत्रित नहीं है," जिससे अतिरिक्त प्रभावित रिलीज़ या पैकेजों के बारे में अनिश्चितता बनी रहती है।

क्यों सप्लाई-चेन वॉलेट चोरी क्रिप्टो में बार-बार दिखाई देती है

यह घटना एक पैटर्न में फिट होती है: हमलावर लगातार npm और GitHub जैसे विश्वसनीय वितरण रेलों को लक्षित करते हैं बजाय इसके कि वे श्रृंखला क्रिप्टोग्राफी को तोड़ने की कोशिश करें। सुरक्षा गठबंधन (SEAL) ने चेतावनी दी है कि "समझौता किए गए सिस्टम का उपयोग सीधे एक कंपनी के अपने GitHub रिपॉजिटरी में दुर्भावनापूर्ण कोड को धकेलने के लिए किया जा रहा है, एक एकल समझौते को अगले के लिए वितरण चैनल में बदल रहा है," और यह नोट किया कि मैलवेयर व्यापक हो रहा है "क्रॉस-प्लेटफ़ॉर्म पेलोड्स के साथ, जिसमें macOS-विशिष्ट अभियानों में वृद्धि शामिल है, जो एक ही पैकेज में इन्फोस्टीलर्स, RATs (रिमोट एक्सेस ट्रोजन) और बैकडोर क्षमताओं को जोड़ती है।"

प्रेरणा स्पष्ट है। CertiK ने रिपोर्ट किया कि वॉलेट समझौते H1 2026 में सबसे महंगा हमलावर वेक्टर थे, जिसमें 33 घटनाओं में $444 मिलियन चोरी हुए।

अब फॉलो-थ्रू प्रारंभिक प्रकटीकरण से अधिक महत्वपूर्ण है। ट्रेडर्स और DeFi उपयोगकर्ताओं को यह देखने के लिए अपडेट की तलाश करनी चाहिए कि क्या अभियान पूरी तरह से नियंत्रित है, क्या @injectivelabs/sdk-ts v1.20.21 के अलावा कोई अतिरिक्त Injective-स्कोप पैकेज प्रभावित हुए हैं, और क्या प्रभावित निर्माणों के माध्यम से पास की गई कुंजियों से कोई चोरी की गई धनराशि की पुष्टि हुई है। डेवलपर पक्ष पर, संकेत सार्वजनिक मरम्मत है: Injective Labs npm स्कोप में अवमूल्यन स्थिति और क्या प्रमुख परियोजनाएँ संभावित एक्सपोजर के बाद कुंजी घुमाव या वॉलेट माइग्रेशन की पुष्टि करती हैं।

इसे एक वॉलेट-जोखिम घटना के रूप में मानें, न कि एक श्रृंखला-आउटेज कहानी

मैं इसे एक वॉलेट-समझौता सेटअप के रूप में मानता हूँ जिसमें किसी भी व्यक्ति के लिए विषम नकारात्मकता है जिसने घुसपैठ की खिड़की के दौरान निर्भरता को छुआ, न कि एक प्रोटोकॉल शोषण जो स्वचालित रूप से Injective की श्रृंखला जोखिम को फिर से मूल्यांकन करना चाहिए। चेन का "नेटवर्क पर कोई धन जोखिम में नहीं है," इस ढांचे के साथ संगत है, लेकिन यह डेवलपर्स और पावर उपयोगकर्ताओं के लिए तात्कालिकता को कम नहीं करता क्योंकि चोरी का लक्ष्य वह गुप्त सामग्री है जो वॉलेट को नियंत्रित करती है।

जो सीमा महत्वपूर्ण है वह यह है कि क्या डाउनस्ट्रीम ड्रेनों को प्रभावित पैकेजों के माध्यम से निकाली गई या संभाली गई कुंजियों के लिए जिम्मेदार ठहराया जाता है। यदि वह लिंक दिखाई देता है और मरम्मत Injective dApps में असमान रहती है, तो सेटअप संरचनात्मक लगने लगता है न कि कथा-प्रेरित, क्योंकि यह एक सप्लाई-चेन घटना को वास्तविक, दोहराए जाने वाले वॉलेट हानियों में बदल देगा।

स्रोत