Pacote malicioso do npm rouba chaves de criptomoedas por meio de repositório GitHub comprometido
Atores de ameaça invadiram o repositório GitHub da Injective Labs para distribuir um pacote npm malicioso projetado para roubar credenciais de carteiras de criptomoedas. O pacote SDK comprometido se disfarçou como telemetria legítima, mas secretamente exfiltrou dados sensíveis dos usuários.
TL;DR
- Atacantes comprometeram o repositório GitHub da Injective Labs
- Publicaram pacote npm malicioso @injectivelabs/sdk-ts@1.20.21
- Pacote continha telemetria oculta que roubava chaves privadas de carteiras
- Alvos incluíram MetaMask e outras carteiras populares de criptomoedas
- Organizações devem auditar imediatamente dependências de terceiros
Pesquisadores de segurança descobriram que atores de ameaça desconhecidos conseguiram comprometer com sucesso o repositório oficial do projeto SDK da Injective Labs no GitHub. Os atacantes utilizaram esse acesso para publicar uma versão maliciosa do pacote npm que ativamente rouba credenciais de carteiras de criptomoedas de desenvolvedores e usuários desavisados.
O pacote comprometido, identificado como @injectivelabs/sdk-ts@1.20.21, foi publicado no registro público do npm e permaneceu indetectável por um período. Esta versão parecia legítima para a maioria dos usuários, mas continha funcionalidade oculta projetada para extrair material criptográfico sensível de carteiras conectadas.
Vetor de Ataque e Impacto
- Atores de ameaça obtiveram acesso não autorizado ao repositório GitHub da Injective Labs
- Código malicioso foi embutido dentro do que parecia ser funcionalidade de telemetria normal
- O pacote especificamente visava chaves privadas e frases semente mnemônicas de carteiras de criptomoedas
- Carteiras afetadas incluem plataformas populares como MetaMask, Trust Wallet e outras
- Exfiltração de dados ocorreu silenciosamente sem conhecimento ou consentimento do usuário
Detecção e Resposta
- Equipes de segurança identificaram o comprometimento através de padrões anômalos de atividade de rede
- A versão maliciosa do pacote foi removida do registro do npm
- A Injective Labs rotacionou todos os tokens de acesso ao repositório e implementou controles de segurança adicionais
- Usuários são aconselhados a revogar e regenerar chaves de carteira caso tenham usado o pacote comprometido
- Organizações devem conduzir auditorias imediatas de suas árvores de dependência em busca de ameaças semelhantes
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.