Пакет программного обеспечения Injective стал жертвой вредоносной атаки на цепочку поставок – Подробности

ambcryptoОпубликовано 2026-07-10Обновлено 2026-07-10

Введение

Злоумышленники скомпрометировали популярный пакет программного обеспечения Injective Labs, @injectivelabs/sdk-ts, в ходе атаки на цепочку поставок. Получив доступ к учетной записи законного участника проекта на GitHub, они распространили вредоносную версию пакета (v1.20.21) через npm под видом обновления с телеметрией. Вредоносный код, остававшийся неактивным при установке, активировался только при использовании разработчиками функций создания кошельков `fromMnemonic` или `fromHex`, похищая их приватные ключи и сид-фразы. Это давало злоумышленникам полный контроль над криптокошельками жертв. Атака была масштабной: пакет загружался около 50 000 раз в неделю, а через транзитивные зависимости затронул еще 17 связанных пакетов Injective. Хотя впоследствии была выпущена чистая версия (v1.20.23), скомпрометированный пакет оставался доступен в npm и на GitHub. Для защиты пользователям рекомендуется затронутые учетные данные, создать новые кошельки и перевести средства. Этот инцидент произошел на фоне другой крупной атаки, в которой BonkDAO потерял 20 миллионов долларов.

Атаки на цепочку поставок программного обеспечения становятся все более распространенными, причем злоумышленники все чаще нацеливаются на доверенные инструменты разработчиков, а не на конечных пользователей.

В последнем инциденте злоумышленники скомпрометировали доверенный программный пакет Injective Labs, чтобы похитить учетные данные кошельков разработчиков.

Источник: Socket

Как развивалась атака на Injective SDK?

Злоумышленник загрузил вредоносную версию TypeScript SDK, @injectivelabs/sdk-ts v1.20.21, в npm. Этот пакет предназначен для создания приложений на Injective, создания кошельков и подписания транзакций.

Затем злоумышленник получил доступ к учетной записи GitHub законного участника проекта Injective Labs и распространил вредоносные коммиты. Одна тестовая ветка называлась «test-backdoor-check».

Под предлогом телеметрии злоумышленник опубликовал скомпрометированный пакет в npm.

Вместо сбора данных об использовании вредоносное ПО извлекало приватные ключи и сид-фразы (мнемонические фразы). Это давало злоумышленникам все необходимое для воссоздания и захвата криптокошельков жертв.

Более того, компрометация распространилась через транзитивные зависимости в 17 дополнительных пакетах Injective, которые полагались на этот SDK.

Уязвимость, которая привела к взлому

Вредоносный код оставался неактивным во время установки, что помогало ему избежать обнаружения.

Вместо этого он выполнялся только тогда, когда разработчики использовали функции генерации кошельков fromMnemonic или fromHex.

Каждую неделю происходило около 50 000 загрузок скомпрометированного пакета. Как минимум 87 других пакетов также напрямую зависели от него.

Злоумышленник также выпустил 17 дополнительных пакетов Injective, зафиксированных на скомпрометированной версии SDK, расширив охват атаки.

Источник: Socket

Что еще?

Вскоре после этого стала доступна чистая версия v1.20.23. Однако скомпрометированная версия все еще была доступна в npm как устаревший пакет, а ее релиз-артефакты все еще были доступны на GitHub.

Следовательно, чтобы избежать подобных инцидентов в будущем, пользователям следует обновить все затронутые учетные данные, создать новые кошельки и перевести свои средства.

Это совпало по времени с потерей $20 миллионов BonkDAO из-за «вредоносного предложения по управлению», что сделало их последней жертвой криптовзлома.


Итоговое резюме

  • Злоумышленник получил доступ к учетной записи GitHub законного участника проекта Injective Labs и использовал ее для распространения вредоносных коммитов.
  • Разработчики оказались уязвимы из-за атаки по причине транзитивных зависимостей в 17 дополнительных пакетах Injective.

Связанные с этим вопросы

QЧто такое атака на цепочку поставок программного обеспечения в данном контексте?

AАтака на цепочку поставок программного обеспечения — это когда злоумышленники взламывают или подменяют доверенные инструменты разработчиков (в данном случае пакет Injective SDK в npm), чтобы поставить вредоносный код. Вместо того чтобы атаковать конечных пользователей напрямую, они используют доверие к популярным библиотекам, чтобы заразить проекты разработчиков и украсть их данные, такие как приватные ключи и мнемонические фразы кошельков.

QКак злоумышленник распространил вредоносный пакет?

AЗлоумышленник сначала загрузил вредоносную версию пакета SDK (v1.20.21) в репозиторий npm. Затем он получил доступ к учетной записи GitHub легитимного контрибьютора Injective Labs и использовал её для распространения вредоносных коммитов в репозитории. Также был создан тестовый бранч с названием «test-backdoor-check». Под видом сбора телеметрии компрометированный пакет был опубликован в npm, а его вредоносный код активировался только при использовании определённых функций генерации кошелька.

QКакой механизм использовал вредоносный код для кражи данных и почему его было сложно обнаружить?

AВредоносный код в пакете @injectivelabs/sdk-ts v1.20.21 оставался неактивным во время установки, что помогало ему избежать первоначального обнаружения. Он исполнялся только тогда, когда разработчики использовали конкретные функции для генерации кошелька — `fromMnemonic` или `fromHex`. При вызове этих функций код извлекал и передавал злоумышленникам приватные ключи и мнемонические сид-фразы пользователей, что давало полный контроль над их криптокошельками.

QКакие последствия и масштаб у этой атаки?

AАтака имела значительный масштаб: компрометированный пакет скачивался примерно 50 000 раз в неделю. По меньшей мере 87 других пакетов напрямую зависели от него. Кроме того, через транзитивные зависимости атака распространилась ещё на 17 пакетов Injective. Даже после выпуска чистой версии (v1.20.23) вредоносный пакет оставался доступен в npm как устаревший, а его артефакты — на GitHub, что продолжало создавать угрозу.

QКакие меры предосторожности рекомендованы пользователям после этой атаки?

AПользователям, которые могли быть затронуты, настоятельно рекомендуется: 1) Заменить (ротировать) все скомпрометированные учетные данные. 2) Создать новые криптокошельки. 3) Перевести все свои средства со старых, потенциально скомпрометированных кошельков на новые, безопасные адреса. Это необходимо для предотвращения кражи средств, даже если данные уже были перехвачены.

Похожее

Куда движется оценка MegaETH после оттока Aave и резких колебаний TVL?

По данным DefiLlama, полный TVL MegaETH 9-10 июля резко упал почти на 60%, достигнув чуть более $30 млн, что на 70% ниже пика мая. Ключевой протокол Aave V3 вывел около 80% ликвидности. Токен MEGA упал примерно до $0,048, рыночная капитализация составляет около $54 млн, а FDV — около $4,8 млрд. Ранний рост TVL в значительной степени зависел от Aave и стратегий зацикливания стабильных монет, таких как USDe, построенных на арбитраже. После исчезновения прибыльности эти средства ушли, обнажив недостаток устойчивого спроса. Существует три основных несоответствия в оценке MegaETH: 1. **Несоответствие оценки и реального использования:** При FDV около $4,7 млрд и 88,7% токенов, которые еще не находятся в обращении, реальные доходы протоколов составляют менее $90 тыс. за 30 дней при всего 2619 ежедневно активных адресах. 2. **Несоответствие нарратива токена и качества экосистемы:** Основным источником дохода в сети является игра Monster (около $670 тыс.), а не DeFi-протоколы. Объем торговли нативных стейблкоинов и деривативов низок. 3. **Несоответствие краткосрочных ожиданий и долгосрочного исполнения:** Интеграции крупных протоколов, таких как Uniswap и Aave, не привели к устойчивому притоку TVL, что указывает на преобладание арбитражного капитала. Ситуация с MegaETH отражает общий сдвиг на рынке: инвесторы все меньше платят за "бумажный" TVL и нарративы, требуя реальных показателей использования и экономической активности. Восстановление цены MEGA, скорее всего, будет зависеть от краткосрочных настроений, пока команда не продемонстрирует четкий прогресс в создании устойчивой экосистемы с реальными пользователями.

链捕手1 ч. назад

Куда движется оценка MegaETH после оттока Aave и резких колебаний TVL?

链捕手1 ч. назад

Глубокий отчет Goldman Sachs: Кто станет долгосрочным победителем в индустрии больших языковых моделей ИИ в Китае?

Глубокий отчет Goldman Sachs анализирует перспективы китайской индустрии больших AI-моделей, выделяя исторический переломный момент. Китайские модели с открытыми весами по интеллектуальным возможностям приближаются к ведущим глобальным проприетарным аналогам, что стимулирует быстрое внедрение как внутри страны, так и среди мирового малого и среднего бизнеса. Ключевые выводы: 1. **Эффективность и инновации:** Китайские модели достигают сопоставимой производительности при значительно меньших затратах благодаря инновациям в архитектуре (например, MoE) и высокой параметрической эффективности. Пример — модель LongCat 2.0 от Meituan, полностью обученная на отечественных чипах. 2. **Двухуровневая рыночная структура:** Формируется рынок с сегментами premium (например, GLM5.2, Qwen3.7 Max, ~$1 за млн токенов) и budget (модели для агентов, ~$0.06-$0.2 за млн токенов). Ожидается рост доходов от API/подписок с ~350 млрд юаней в 2026 г. до ~8.79 трлн юаней к 2030 г. 3. **Стратегия открытого исходного кода:** Широко используется для гибкости развертывания и роста сообщества, но монетизация ограничена. Ожидается переход от полностью открытых лицензий к моделям с "открытым весом + коммерческой лицензией" и соглашениям о разделе доходов. 4. **Сдвиг парадигмы на глобальном рынке:** Фокус смещается с максимизации объема токенов на приоритет ROI (окупаемости инвестиций). Китайские модели набирают долю на зарубежных рынках (не США) благодаря соотношению цена/качество и доступности через платформы, такие как AWS Bedrock и Gemini Enterprise. 5. **Конкурентный ландшафт:** Goldman Sachs выделяет потенциальных долгосрочных лидеров на основе анализа ценового потенциала, преимуществ по затратам и финансовой устойчивости. * **Базовые текстовые модели:** Zhipu AI (нейтральный рейтинг) и DeepSeek (не публичная) имеют самые сильные позиции. * **Мультимодальные/видеомодели:** ByteDance (Seedance) является лидером. Также положительно оцениваются MiniMax (покупка) и Kuaishou (Kling). Отчет подчеркивает значительный рост индустрии и ее растущее глобальное влияние.

marsbit1 ч. назад

Глубокий отчет Goldman Sachs: Кто станет долгосрочным победителем в индустрии больших языковых моделей ИИ в Китае?

marsbit1 ч. назад

Глубокий отчет Goldman Sachs: Кто станет долгосрочным победителем в индустрии ИИ-больших моделей Китая?

**Кто станет долгосрочным победителем в индустрии ИИ-моделей Китая? Отчет Goldman Sachs** Китайские большие языковые модели (LLM) находятся на переломном этапе. Аналитики Goldman Sachs отмечают, что производительность китайских открытых моделей приближается к ведущим мировым проприетарным аналогам, а их внедрение быстро растет. Ключевые факторы успеха — архитектурные инновации (например, смешанные экспертные модели — MoE) и высокая эффективность параметров, что позволяет добиваться сопоставимой производительности при значительно меньших затратах (2-10% от параметров топ-моделей) и формировать "двухслойную" структуру рынка. **Двухуровневый рынок:** Сформировались два сегмента. *Высококлассные* модели (например, GLM5.2 от Zhipu, Qwen3.7 Max от Alibaba) с ценой ~$1 за млн токенов и рентабельностью 10-20%. *Бюджетные* модели для агентов (цена ~$0.06-0.2 за млн токенов) активно завоевывают глобальный рынок малого бизнеса. Ожидается, что доходы от API/подписок в Китае вырастут с ~35 млрд юаней в 2026 до ~879 млрд юаней в 2030 году. **Стратегия открытого исходного кода:** Многие ведущие китайские модели (Zhipu, DeepSeek, Alibaba, MiniMax) используют открытые веса для ускорения итераций и глобального распространения. Однако текущая модель монетизации (прямые API) недооценивает реальный масштаб развертывания. Ожидается переход к модели "открытые веса + коммерческая лицензия" с разделением доходов через платформы (AWS Bedrock, Alibaba Cloud), что улучшит рентабельность. **Глобальная экспансия и смена парадигмы:** Главный потенциал роста — выход на международные рынки (особенно за пределами США), где китайские модели конкурируют ценой и качеством. Goldman отмечает сдвиг корпоративного спроса от максимизации потребления токенов к приоритету ROI (окупаемости инвестиций), где важнее эффективность и автоматизация задач. **Потенциальные победители:** Goldman Sachs оценивает конкуренцию по трем критериям: ценовая власть, преимущества в себестоимости и финансовая устойчивость. * **Базовые текстовые модели:** Наиболее сильные позиции у **Zhipu AI** (первое покрытие, целевая оценка $110 млрд) и **DeepSeek** (не публична). * **Мультимодальные/видеомодели:** Лидер — **ByteDance** (не публична) с моделью Seed (высокая рентабельность). Также выделены **Kuaishou** (Kling) и **MiniMax** (покупка, цель — 860 HKD), чья оценка выглядит недооцененной. **Вывод:** Китайские ИИ-модели добились прорыва в эффективности и качестве, формируя конкурентоспособное глобальное предложение. Долгосрочный успех будет определяться способностью сочетать технологическое лидерство, эффективную монетизацию открытых стратегий и выход на международные рынки.

链捕手1 ч. назад

Глубокий отчет Goldman Sachs: Кто станет долгосрочным победителем в индустрии ИИ-больших моделей Китая?

链捕手1 ч. назад

Circle получает окончательное одобрение OCC для создания национального трастового банка с целью укрепления инфраструктуры USDC

Circle получила окончательное одобрение Управления контролера денежного обращения США (OCC) на создание национального трастового банка под названием First National Digital Currency Bank, N.A. (Circle National Trust). Это важный нормативный этап, который переводит ключевую часть инфраструктуры стейблкоина USDC под прямое федеральное банковское регулирование. Новый трастовый банк будет предоставлять регулируемые услуги по хранению цифровых активов для компании и, в перспективе, для ограниченного числа институциональных клиентов, включая банки. Утверждение также закладывает основу для возможного будущего управления резервами USDC под надзором OCC. Circle стала одной из первых криптокомпаний в новой волне заявителей, прошедшей путь от условного до окончательного одобрения OCC, что отражает общую тенденцию интеграции криптоинфраструктуры в существующую банковскую систему США.

ambcrypto1 ч. назад

Circle получает окончательное одобрение OCC для создания национального трастового банка с целью укрепления инфраструктуры USDC

ambcrypto1 ч. назад

DeXe достиг нового исторического максимума, цель – $40: Два индикатора подтверждают бычий настрой

DeXe [DEXE] продолжил рост, защитил уровень $30 и достиг нового исторического максимума в $35,5. На момент публикации токен торговался около $34, показав рост на 17,9% за сутки. Объем торгов вырос на 161% до $128 млн, что отражает высокую активность рынка. Альткойн вырос на 962% с начала 2026 года на фоне интереса к децентрализованному управлению и инфраструктуре, связанной с ИИ. Данные Coinalyze показывают доминирование покупателей на спотовом рынке в течение восьми дней подряд. Кроме того, открытый интерес на фьючерсном рынке вырос на 18% до $160 млн, а объем деривативов — на 146%, что указывает на активное открытие новых позиций. Индикаторы подтверждают силу быков: RSI приблизился к 76 (зона перекупленности), что сигнализирует о сильном покупательском давлении. Average Directional Index (ADX) также показывает превосходство положительного индикатора (+DI) над отрицательным (-DI), поддерживая восходящий тренд. Если покупательский спрос сохранится, DEXE может продолжить рост к цели в $40 при условии удержания поддержки на уровне $30. В случае пробития этого уровня следующей зоной поддержки станет $27.

ambcrypto3 ч. назад

DeXe достиг нового исторического максимума, цель – $40: Два индикатора подтверждают бычий настрой

ambcrypto3 ч. назад

Торговля

Спот
活动图片