أفادت Cointelegraph نقلاً عن شركة الأمن Socket أن حزمة npm الخاصة بسلسلة Injective، @injective/sdk-ts، قد تم تعديلها بشكل ضار. قام المهاجم باختراق حساب المطور على GitHub بزرع كود خبيث لسرقة المفاتيح الخاصة وعبارات الاسترداد للحافظات، وإرسال البيانات إلى عنوان يتنكر كخادم شبكة Injective الشرعي. يبلغ تنزيل الحزمة الأسبوعي حوالي 50 ألف مرة، وقد ظهر الإصدار الخبيث 1.20.21 في 8 يونيو مع التزامات مشبوهة، وتم تثبيته عبر 17 حزمة أخرى ضمن نطاق Injective Labs على npm.

INJ%0.78
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
  • أعجبني
  • 4
  • 1
  • مشاركة
تعليق
إضافة تعليق
إضافة تعليق
AirdropCheatSheet
· منذ 8 س
50 ألف عملية تنزيل أسبوعية... كم عدد المفاتيح الخاصة التي تم تسريبها بالفعل؟
شاهد النسخة الأصليةرد0
GateUser-818d3026
· منذ 8 س
أمان حساب GitHub أصبح الآن بنفس أهمية أمان المحفظة.
شاهد النسخة الأصليةرد0
Post-RainCancellationAgent
· منذ 8 س
قامت npm بتثبيت 17 حزمة ضمن نطاقات محددة، وهذا يوسع سطح الهجوم بشكل كبير
شاهد النسخة الأصليةرد0
GateUser-dd8dffab
· منذ 8 س
هجمات سلسلة التوريد حقًا لا يمكن تجنبها، فبمجرد فقدان حساب المطور تتعرض الشبكة بأكملها للضرر.
شاهد النسخة الأصليةرد0
  • مُثبت