Selon la société de sécurité StepSecurity, un attaquant a exploité le 8 juillet les privilèges d'un compte de développeur de confiance pour implanter une porte dérobée dans le SDK TypeScript officiel d'Injective @injectivelabs/sdk-ts, et a poussé la version malveillante 1.20.21 vers 18 paquets npm concernés via un processus de publication automatisé. Le code malveillant, déguisé en outil d'analyse, collectait les phrases mnémoniques et les clés privées lors de la création ou du chargement de portefeuilles, et les envoyait à un serveur contrôlé par l'attaquant. La version affectée a été retirée moins d'une heure après sa mise en ligne, et les 18 paquets ont ensuite publié la version corrective 1.20.23. StepSecurity recommande aux applications ayant installé le paquet affecté ou utilisé une copie en cache pendant la fenêtre de temps concernée de considérer les clés de portefeuille exposées comme compromises.

INJ-0,99%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
Ajouter un commentaire
Ajouter un commentaire
Aucun commentaire
  • Épinglé