Serangan rantai pasokan perangkat lunak semakin umum terjadi, dengan penyerang semakin menargetkan alat pengembang tepercaya alih-alih pengguna akhir.
Dalam insiden terbaru ini, penyerang membahayakan paket perangkat lunak Injective Labs yang tepercaya untuk mencuri kredensial dompet pengembang.


Bagaimana serangan Injective SDK terjadi?
Penyerang mengunggah versi berbahaya dari TypeScript SDK, @injectivelabs/sdk-ts v1.20.21, ke npm. Paket ini dirancang untuk membangun aplikasi Injective, membuat dompet, dan menandatangani transaksi.
Penyerang kemudian mendapatkan akses ke akun GitHub kontributor Injective Labs yang sah dan mendistribusikan komit berbahaya. Satu cabang pengujian diberi nama "test-backdoor-check."
Berpura-pura sebagai telemetri, penyerang memublikasikan paket yang dikompromikan ke npm.
Alih-alih mengumpulkan data penggunaan, malware itu mengekstrak kunci pribadi dan frasa benih mnemonik. Hal itu memberi penyerang semua yang dibutuhkan untuk membuat ulang dan menyita dompet kripto korban.
Selain itu, kompromi itu menyebar melalui dependensi transitif di 17 paket Injective tambahan yang bergantung pada SDK tersebut.
Celah yang menyebabkan pelanggaran
Kode berbahaya tetap tidak aktif selama instalasi, membantunya menghindari deteksi.
Sebaliknya, kode itu hanya dieksekusi ketika pengembang menggunakan fungsi pembuatan dompet fromMnemonic atau fromHex.
Sekitar 50.000 unduhan paket yang dikompromikan terjadi setiap minggu. Setidaknya 87 paket lain juga bergantung padanya secara langsung.
Penyerang juga merilis 17 paket Injective tambahan yang dipasang ke versi SDK yang dikompromikan, memperluas jangkauan serangan.


Apa lagi?
Segera setelah itu, versi bersih, v1.20.23, dibuat tersedia. Namun, versi yang dikompromikan masih tersedia di npm sebagai paket yang tidak digunakan lagi, dan artefak rilisnya masih tersedia di GitHub.
Oleh karena itu, untuk menghindari insiden serupa lebih lanjut, pengguna harus memutar semua kredensial yang terdampak, membuat dompet baru, dan memindahkan uang mereka.
Ini bertepatan dengan BonkDAO yang kehilangan $20 juta karena "proposal tata kelola berbahaya" menjadikan mereka korban peretasan kripto terbaru.
Ringkasan Akhir
- Pelaku mendapatkan akses ke akun GitHub kontributor Injective Labs yang sah dan menggunakannya untuk mendistribusikan komit berbahaya.
- Pengembang menjadi rentan oleh serangan karena dependensi transitif dalam 17 paket injektif tambahan.





