La société de sécurité Socket a découvert une faille dans le paquet npm @injectivelabs/sdk-ts, utilisé par la blockchain Injective, où des hackers ont inséré un code malveillant pour voler les clés privées des portefeuilles et les mnémoniques. Les attaquants ont compromis le compte GitHub d'un développeur pour exécuter l'attaque, encodant les données volées et les envoyant à un serveur déguisé en adresse réseau légitime d'Injective. Le paquet, qui compte environ 50 000 téléchargements par semaine, a vu sa version malveillante 1.20.21 introduite le 8 juin, affectant 17 autres paquets dans le scope npm d'Injective Labs. Bien que le PDG d'Injective, Eric Chen, ait confirmé que le problème a été résolu et que les versions affectées ont été dépréciées, le paquet malveillant a été téléchargé plus de 310 fois. Socket avertit que l'attaque n'a pas été entièrement contenue.
Des hackers tentent d'injecter une porte dérobée dans le package npm Injective pour voler des clés de portefeuille
Avertissement : Le contenu proposé sur Phemex News est à titre informatif uniquement. Nous ne garantissons pas la qualité, l'exactitude ou l'exhaustivité des informations provenant d'articles tiers. Ce contenu ne constitue pas un conseil financier ou d'investissement. Nous vous recommandons vivement d'effectuer vos propres recherches et de consulter un conseiller financier qualifié avant toute décision d'investissement.
