Компания по кибербезопасности Socket обнаружила нарушение безопасности в npm-пакете @injectivelabs/sdk-ts, используемом блокчейном Injective, где хакеры внедрили вредоносный код для кражи приватных ключей кошельков и мнемонических фраз. Злоумышленники получили доступ к аккаунту разработчика на GitHub для проведения атаки, кодируя украденные данные и отправляя их на сервер, замаскированный под легитимный адрес сети Injective. Пакет, который скачивают примерно 50 000 раз в неделю, получил вредоносную версию 1.20.21 8 июня, что затронуло 17 других пакетов в области npm Injective Labs. Хотя генеральный директор Injective Эрик Чен подтвердил, что проблема решена и затронутые версии устарели, вредоносный пакет был скачан более 310 раз. Socket предупреждает, что атака еще не полностью локализована.