Tấn công chuỗi cung ứng: GitHub của Injective Labs bị xâm nhập để phát tán mã độc đánh cắp ví tiền điện tử
Kẻ tấn công đã xâm nhập vào kho lưu trữ GitHub của Injective Labs để chèn mã độc vào các gói npm, nhằm đánh cắp khóa riêng tư và cụm từ khôi phục ví tiền điện tử của người...
Một vụ tấn công chuỗi cung ứng phần mềm nghiêm trọng vừa được phát hiện nhắm vào dự án Injective Labs SDK. Kẻ tấn công đã chiếm quyền kiểm soát kho lưu trữ GitHub chính thức và phát hành các gói mã độc lên npm registry với mục tiêu đánh cắp khóa riêng tư (private key) và cụm từ hạt giống (mnemonic seed phrase) của ví tiền điện tử.
Phiên bản bị ảnh hưởng là @injectivelabs/[email protected], được phát hành vào ngày 8/7/2026. Mặc dù gói này đã bị gỡ bỏ khỏi npm, các tệp tin liên quan vẫn đang tồn tại trên GitHub. Theo các chuyên gia bảo mật, mã độc này được đưa vào thông qua các commit từ một tài khoản GitHub của một nhà phát triển có uy tín lâu năm trong dự án, cho thấy khả năng tài khoản này đã bị chiếm quyền điều khiển.
Đáng chú ý, kẻ tấn công không chỉ dừng lại ở gói SDK chính mà còn phát hành thêm 17 gói khác thuộc phạm vi @injectivelabs có phụ thuộc vào phiên bản SDK độc hại này. Điều này gây rủi ro cho cả những người dùng không trực tiếp cài đặt thư viện bị nhiễm nhưng lại sử dụng các gói phụ thuộc (transitive dependencies).
Cơ chế hoạt động của mã độc:
Mã độc được thiết kế tinh vi để tránh bị phát hiện bằng cách không sử dụng các script vòng đời (lifecycle scripts) thông thường. Thay vào đó, nó ngụy trang dưới dạng một hàm trackKeyDerivation(), vốn được giới thiệu là công cụ thu thập dữ liệu đo lường (telemetry) để tối ưu hóa hiệu suất SDK. Khi người dùng thực hiện các thao tác liên quan đến ví, hàm này sẽ âm thầm thu thập dữ liệu nhạy cảm và gửi về máy chủ từ xa thông qua các yêu cầu HTTPS POST.
Các chuyên gia từ Socket và OX Security cảnh báo rằng kẻ tấn công đã lợi dụng quy trình trusted-publisher (OIDC) của GitHub để hợp thức hóa các bản cập nhật độc hại này.
Khuyến nghị cho người dùng:
- Cập nhật ngay lập tức lên phiên bản sạch mới nhất (1.20.23).
- Coi như tất cả các khóa riêng tư hoặc cụm từ khôi phục đã từng được xử lý qua các phiên bản bị nhiễm là đã bị lộ và cần thực hiện thay đổi (rotate) ngay lập tức.
- Kiểm tra kỹ các phụ thuộc trong dự án để đảm bảo không còn tồn tại các gói bị ảnh hưởng.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.