Các cuộc tấn công chuỗi cung ứng phần mềm ngày càng trở nên phổ biến, với tin tặc ngày càng nhắm mục tiêu vào các công cụ phát triển đáng tin cậy thay vì người dùng cuối.
Trong sự cố mới nhất, kẻ tấn công đã xâm phạm một gói phần mềm đáng tin cậy của Injective Labs để đánh cắp thông tin xác thực ví của các nhà phát triển.


Cuộc tấn công vào Injective SDK diễn ra như thế nào?
Kẻ tấn công đã tải lên npm một phiên bản độc hại của SDK TypeScript, @injectivelabs/sdk-ts v1.20.21. Gói này được thiết kế để xây dựng ứng dụng Injective, tạo ví và ký giao dịch.
Sau đó, kẻ tấn công đã giành được quyền truy cập vào tài khoản GitHub hợp pháp của một cộng tác viên tại Injective Labs và phân phối các commit độc hại. Một nhánh thử nghiệm có tên là “test-backdoor-check.”
Dưới vỏ bọc là tính năng đo lường từ xa (telemetry), kẻ tấn công đã xuất bản gói bị xâm phạm lên npm.
Thay vì thu thập dữ liệu sử dụng, phần mềm độc hại đã trích xuất khóa riêng tư và cụm từ hạt giống gợi nhớ (mnemonic seed phrases). Điều đó đã cung cấp cho kẻ tấn công mọi thứ cần thiết để tái tạo và chiếm đoạt ví tiền mã hóa của nạn nhân.
Trên hết, sự xâm phạm này còn lan rộng qua các phụ thuộc chuyển tiếp (transitive dependencies) trong 17 gói Injective bổ sung phụ thuộc vào SDK này.
Lỗ hổng dẫn đến vi phạm
Mã độc vẫn không hoạt động trong quá trình cài đặt, giúp nó tránh bị phát hiện.
Thay vào đó, nó chỉ thực thi khi các nhà phát triển sử dụng các hàm tạo ví từMnemonic hoặc fromHex.
Khoảng 50.000 lượt tải xuống gói bị xâm phạm đã xảy ra mỗi tuần. Ít nhất 87 gói khác cũng phụ thuộc trực tiếp vào nó.
Kẻ tấn công cũng đã phát hành 17 gói Injective bổ sung được ghim vào phiên bản SDK bị xâm phạm, mở rộng phạm vi tấn công.


Còn gì nữa?
Ngay sau đó, một phiên bản sạch, v1.20.23, đã được cung cấp. Tuy nhiên, phiên bản bị xâm phạm vẫn có sẵn trên npm dưới dạng gói không còn được khuyến nghị (deprecated package), và các bản phát hành (release artifacts) của nó vẫn có sẵn trên GitHub.
Do đó, để tránh các sự cố tương tự trong tương lai, người dùng nên xoay vòng tất cả thông tin xác thực bị ảnh hưởng, tạo ví mới và chuyển tiền của họ.
Sự việc này trùng hợp với việc BonkDAO mất 20 triệu đô la vì một “đề xuất quản trị độc hại” khiến họ trở thành nạn nhân mới nhất của một vụ hack tiền mã hóa.
Tóm tắt cuối cùng
- Kẻ gian đã giành được quyền truy cập vào tài khoản GitHub hợp pháp của một cộng tác viên tại Injective Labs và sử dụng nó để phân phối các commit độc hại.
- Các nhà phát triển đã bị tổn thương bởi cuộc tấn công do các phụ thuộc chuyển tiếp trong 17 gói injective bổ sung.





