De acordo com a empresa de segurança StepSecurity, um invasor utilizou as permissões de uma conta de desenvolvedor confiável em 8 de julho para implantar um backdoor no SDK TypeScript oficial da Injective @injectivelabs/sdk-ts e, por meio de um processo de publicação automatizado, enviou a versão maliciosa 1.20.21 para 18 pacotes npm relacionados. O código malicioso estava disfarçado como ferramenta de análise e, ao criar ou carregar uma carteira, coletava frases-semente e chaves privadas, enviando-as para um servidor controlado pelo invasor. A versão afetada foi retirada menos de uma hora após o lançamento, e os 18 pacotes subsequentemente receberam a versão corrigida 1.20.23. A StepSecurity recomenda que aplicativos que instalaram o pacote afetado durante a janela de tempo relevante ou usaram cópias em cache considerem as chaves das carteiras que tiveram contato como comprometidas.

INJ0,89%
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
  • Recompensa
  • Comentário
  • Repostar
  • Compartilhar
Comentário
Adicionar um comentário
Adicionar um comentário
Sem comentários
  • Fixado