رافي لاكشمانان10 يوليو 2026سلسلة توريد البرمجيات/البرامج الضارة

قامت جهات تهديد غير معروفة باختراق مستودع GitHub الخاص بمشروع Injective Labs SDK واستفادته لنشر حزمة ضارة على سجل npm لسرقة المفاتيح الخاصة لمحفظة العملة المشفرة والعبارات الأولية للتذكر.

النسخة المخترقة، @injectivelabs/sdk-ts@1.20.21، تم تضمينه مع وظيفة القياس عن بعد المزيفة التي تقوم بسحب البيانات من محافظ العملات المشفرة. تم إصدار الإصدار في 8 يوليو 2026، ولكن تم إهماله في السجل منذ ذلك الحين. ومع ذلك، فإن عناصر الإصدار التي تنتمي إلى الإصدار المخترق لا تزال متاحة للتنزيل من GitHub حتى وقت كتابة هذا التقرير.

وقال سوكيت: “تم تقديم الوظيفة الضارة إلى مستودع GitHub الرسمي للمشروع من خلال الالتزامات المقدمة من حساب GitHub التابع لمطور له تاريخ ثابت من المساهمات في المستودع”.

وقالت شركة أمن سلسلة توريد البرمجيات إن جهة التهديد التي تقف وراء الهجوم نشرت أيضًا الإصدار 1.20.21 عبر 17 حزمة إضافية من نوع @injectivelabs تعتمد على إصدار SDK الضار وتثبيته، مما يضع المستخدمين العابرين الذين ربما لم يقوموا بتثبيت المكتبة مباشرة. وهذا يشمل –

  • @injectivelabs/utils
  • @injectivelabs/networks
  • @injectivelabs/ts-types
  • @injectivelabs/الاستثناءات
  • @injectivelabs/wallet-base
  • @injectivelabs/wallet-core
  • @injectivelabs/wallet-cosmos
  • @injectivelabs/wallet-private-key
  • @injectivelabs/wallet-evm
  • @injectivelabs/wallet-trezor
  • @injectivelabs/wallet-cosmostation
  • @injectivelabs/wallet-ledger
  • @injectivelabs/wallet-wallet-connect
  • @injectivelabs/wallet-magic
  • @injectivelabs/wallet-strategy
  • @injectivelabs/wallet-turnkey
  • @injectivelabs/wallet-cosmos-strategy

تعد البرامج الضارة الموجودة داخل الحزمة بسيطة ومباشرة إلى حد ما، ويتم تشغيلها عند استخدام وظيفة المكتبة من قبل مطور غير متوقع. ومن خلال تجنب البرامج النصية لدورة الحياة وعدم تشغيلها أثناء مرحلة التثبيت، فإن ذلك يساعد البرامج الضارة على الظهور تحت الرادار.

على وجه التحديد، تم العثور على الإصدار المسموم لتعديل الوظائف الشرعية المستخدمة في سير العمل لإنشاء مفاتيح خاصة عن طريق استدعاء وظيفة “trackKeyDerivation ()” تحت ستار جمع مقاييس الاستخدام مجهولة المصدر لتحسين SDK.

“يتتبع طرق الاشتقاق الرئيسية المستخدمة (ست عشرية مقابل ذاكري) ويشتق أنماط التوقيت لمساعدة فريق SDK على تحديد اختناقات الأداء وفهم اعتماد تنسيقات رئيسية مختلفة عبر النظام البيئي،” يقرأ وصف وظيفة القياس عن بعد المفترضة. “جميع المقاييس قابلة للحذف والنسيان ولا تمنع أو تؤثر على الاشتقاق الرئيسي.”

وفقًا لـSocket، تتضمن المعلمات التي تم تمريرها إلى الوظيفة علامة مشفرة تصف الطريقة المستخدمة لإنشاء المفتاح الخاص والمعلومات الحساسة الفعلية اللازمة لإنشاء المفتاح الخاص. تعتبر المواد التي تم التقاطها كافية لممثل التهديد لإعادة إنشاء المفتاح الخاص في نهايته.

“تضيف البرامج الضارة منطق سرقة محفظة العملات المشفرة إلى حزمة محفظة العملات المشفرة، في كل مرة يقوم مستخدم شرعي بإنشاء أو استخدام المنطق الذي يقرأ العبارات التذكيرية – والتي تعد في الأساس المفتاح الرئيسي لأي محفظة عملات مشفرة، تقرأها البرامج الضارة وترسلها إلى الخادم البعيد،” قال OX Security.

في محاولة لتقليل عدد الطلبات الصادرة، تم تصميم آلية التصفية لإلحاق عدة اشتقاقات مفاتيح خلال نافذة مدتها ثانيتان في قائمة انتظار واحدة ثم إرسالها في شكل طلب HTTPS POST إلى خادم خارجي (“testnet.archival.chain.grpc-web.injective”[.]شبكة”) في منارة واحدة.

لاحظت StepSecurity أن الإصدار الضار تم تسهيله من خلال خط أنابيب الناشر الموثوق به (OIDC) الخاص بالمستودع، مضيفًا أن عمليات الالتزام الضارة تم تأليفها ودفعها تحت هوية مشرف موجود وموثوق (“thomasRalee”).

يُنصح المستخدمون الذين قاموا بتثبيت الإصدار الضار بالتحديث إلى الإصدار النظيف المنشور حديثًا من الحزمة (1.20.23)، والتعامل مع أي مفتاح خاص أو عبارة تذكيرية تم تمريرها عبر الحزمة على أنها مخترقة وتدويرها، والتحقق من التبعيات المتعدية.

شاركها.
اترك تعليقاً