GitHub Compromise at Injective Labs Enabled npm Package Tampering and Wallet Key Theft Risk

Kompromitacija GitHub-a Injective Labs dovela do zamene npm paketa i rizika od krađe ključeva novčanika
Kolege, želim da skrenem Vašu pažnju na incident iz oblasti sajber bezbednosti: kompromitovan je GitHub repozitorijum Injective Labs SDK, a preko npm-a objavljen je zlonameran paket.
Ukratko:
• @injectivelabs/sdk-ts@1.20.21 mogao je da krade private keys i mnemonic seed phrase.
• Kod se prikrivao kao telemetry i aktivirao se pri korišćenju funkcija biblioteke.
• Pogođene su i tranzitivne zavisnosti drugih @injectivelabs paketa.
Preporuka: ažurirajte na čistu verziju 1.20.23, proverite zavisnosti i ključeve koji su prošli kroz paket smatrajte kompromitovanim.
Zašto je ovo važno: supply chain napadi pogađaju i poverljive repozitorijume.
Kako Vi proveravate rizik u lancu zavisnosti? #sajberbezbednost #lanacsnabdevanja #npm #GitHub


Latest comments
No comments yet.