Hackeři se pokusili infikovat balíček Injective na NPM a získat klíče k peněženkám

Krátce po odhalení bezpečnostního incidentu kolem vývojářského balíčku Injective se rozhořel spor o to, kolik uživatelů mohlo být reálně zasaženo. Jisté ale je, že útočníci se pokusili zneužít důvěryhodný nástroj používaný při vývoji aplikací na blockchainu Injective k odcizení citlivých údajů. Případ znovu ukazuje, že největší hrozba už dávno nespočívá jen v prolomení blockchainu samotného, ale i v kompromitaci nástrojů, na kterých celý ekosystém stojí.

Útok cílil na populární balíček v ekosystému Injective

Bezpečnostní společnost Socket upozornila na kompromitaci populárního balíčku na NPM, který se používá při vývoji aplikací pro blockchain Injective. Podle jejích zjištění byl upraven balíček @injectivelabs/sdk-ts, konkrétně verze 1.20.21, a to po narušení GitHub účtu jednoho z vývojářů. Balíček měl podle Socketu přibližně 50 tisíc týdenních stažení, což z incidentu dělá potenciálně velmi závažný problém. Škodlivá úprava měla za cíl získávat privátní klíče a seed fráze kryptoměnových peněženek.

Socket uvedl, že malware byl stažen více než 300krát a kampaň v době zveřejnění ještě nemusela být zcela uzavřena. Injective ale krátce poté oznámilo, že problém bylo možné okamžitě identifikovat a vyřešit. Projekt zároveň tvrdí, že škodlivá verze balíčku nezaznamenala žádné stažení. Rozpor mezi tvrzením bezpečnostní firmy a stanoviskem samotného projektu tak zůstává jedním z klíčových nevyjasněných bodů celého incidentu.

Jak škodlivý kód fungoval

Podle analýzy Socketu útočníci zasáhli do běžných funkcí určených pro odvozování a generování klíčů k peněženkám. Ve chvíli, kdy aplikace vývojáře tyto funkce použila, škodlivý kód měl tajně kopírovat seed fráze nebo privátní klíče. Následně byla tato data zakódována a odesílána na webovou adresu, která na první pohled působila jako legitimní server sítě Injective. Právě tento typ maskování je nebezpečný, protože může unikat pozornosti jak vývojářů, tak automatizovaných kontrol.

Socket upozornil, že zasažená verze nebyla problémem jen sama o sobě. Verze 1.20.21 byla podle firmy připnuta i napříč dalšími 17 balíčky v rámci NPM scope Injective Labs. To znamená, že ohroženi mohli být i uživatelé, kteří samotný SDK balíček nenainstalovali přímo, ale používali jiné závislosti navázané na stejný ekosystém. Každý privátní klíč nebo seed fráze, které prošly přes dotčené balíčky, by podle Socketu měly být považovány za kompromitované.

Reakce Injective a vyjádření vedení

Projekt Injective v reakci uvedl, že incident byl vyřešen okamžitě a zasažené verze byly na NPM označeny jako zastaralé či vyřazené. Generální ředitel Injective Eric Chen zdůraznil, že problém je již opraven a že prostředky na samotné síti nejsou ohroženy. To je důležité rozlišení, protože útok neměl mířit na konsenzus blockchainu ani na chybu ve smart kontraktech, ale na vývojářský software používaný při práci s peněženkami a aplikacemi.

Z dostupných informací také nevyplývá, že by při incidentu skutečně došlo ke krádeži finančních prostředků. Socket ve své zprávě nespecifikoval, zda byly nějaké peníze odcizeny, a vedení Injective tvrdí, že síť samotná zůstala v bezpečí. Přesto jde o varování s vysokou závažností, protože u podobných útoků se škoda nemusí projevit okamžitě. Útočníci si totiž mohou citlivá data uchovat a zneužít je až s odstupem času.

Supply chain útoky jsou pro kryptoměny stále větší hrozbou

Tento incident patří do kategorie takzvaných supply chain útoků, tedy útoků na dodavatelský řetězec softwaru. V praxi to znamená, že hackeři neútočí přímo na blockchain, jeho kryptografii nebo smart kontrakty, ale kompromitují důvěryhodné nástroje, které používají vývojáři, burzy, peněženky nebo decentralizované aplikace. Jde o relativně nový, ale rychle sílící vektor útoku, protože útočníkům umožňuje zasáhnout široké množství cílů najednou.

Právě důvěra ve známé repozitáře a balíčkovací systémy, jako jsou GitHub nebo NPM, dělá z těchto incidentů mimořádně nebezpečnou záležitost. Vývojáři obvykle předpokládají, že zavedené knihovny a oficiální balíčky jsou bezpečné. Pokud však útočník pronikne k maintainer účtu nebo internímu repozitáři, může z jediné kompromitace vzniknout distribuční kanál pro další napadení. Jedna upravená závislost tak může otevřít cestu k desítkám či stovkám navazujících aplikací.

Bezpečnostní firmy varují před rostoucí sofistikovaností malwaru

Organizace Security Alliance neboli SEAL ve své zprávě za druhé čtvrtletí uvedla, že útočníci stále častěji využívají legitimní platformy, jako jsou GitHub, NPM nebo Google, k distribuci škodlivého kódu. Podle aliance se navíc objevují případy, kdy jsou kompromitované systémy zneužity k tomu, aby přímo v interních firemních repozitářích šířily škodlivý software dál. Takový scénář výrazně zvyšuje dopad útoku, protože narušení jedné organizace se může řetězově přenést na další subjekty.

SEAL zároveň upozornila, že moderní malware je stále komplexnější. Místo jednoduchých krádeží dat se dnes častěji objevují balíčky, které kombinují funkce infostealeru, vzdáleného přístupu a zadních vrátek. Významně roste i počet kampaní zaměřených na macOS, což naznačuje, že útočníci už nepracují s předpokladem, že kryptovývojáři používají převážně jen jeden operační systém. Výsledkem je širší a technicky propracovanější hrozba než v minulých letech.

Nejde o ojedinělý případ

Útok spojený s Injective nezapadá do prázdna. Už v březnu zasáhl podobný supply chain incident vydání balíčků Axios na NPM. V květnu pak bezpečnostní specialisté odhalili malware známý jako TrapDoor, který cílil na vývojáře v oblasti kryptoměn, DeFi, umělé inteligence i kyberbezpečnosti. Také GitHub sám přiznal 20. května neoprávněný přístup ke svým interním repozitářům po kompromitaci zařízení jednoho zaměstnance.

Tyto případy společně ukazují, že útočníci stále méně spoléhají na hrubou sílu a stále více na infiltraci důvěryhodné infrastruktury. Napadnout jednotlivce je složité a škálování omezené, kdežto kompromitace široce používaného balíčku nebo firemního repozitáře může otevřít dveře k rozsáhlejšímu zásahu. V kryptoměnovém prostředí, kde aplikace běžně pracují s klíči, seed frázemi a podpisy transakcí, je takový scénář obzvlášť nebezpečný.

Peněženky patří letos mezi nejdražší cíle útočníků

Data společnosti CertiK potvrzují, že kompromitace peněženek představují v roce 2026 jednu z nejdražších kategorií útoků. Jen za první polovinu roku mělo být v rámci 33 incidentů odcizeno celkem 444 milionů dolarů. To z peněženek činí z hlediska finančních škod nejvýznamnější útočný vektor letošního roku. Incident kolem Injective tak zapadá do širšího trendu, kdy útočníci cíleně hledají cesty ke klíčům uživatelů namísto přímého prolomení blockchainových sítí.

Pro útočníky je tento přístup logický. Získat seed frázi nebo privátní klíč je často mnohem efektivnější než obcházet bezpečnost na úrovni protokolu. Jakmile má útočník klíče k dispozici, může se tvářit jako legitimní vlastník prostředků a převést aktiva bez nutnosti prolomení samotné sítě. Bezpečnost peněženky je proto v praxi stejně důležitá jako bezpečnost blockchainu.

Co si z incidentu odnést

Případ kolem Injective připomíná, že bezpečnost v kryptoměnách nekončí u auditu smart kontraktů nebo správy prostředků na chainu. Stále důležitější je kontrola závislostí, zabezpečení vývojářských účtů a pečlivé ověřování aktualizací balíčků. Pro vývojáře i firmy by mělo být samozřejmostí používat vícefaktorové ověřování, průběžně monitorovat změny v repozitářích a pravidelně auditovat knihovny, které jejich aplikace využívají.

Pokud některý tým pracoval s potenciálně zasaženými balíčky, nejopatrnější postup je považovat všechny exponované klíče a seed fráze za kompromitované a odpovídajícím způsobem je nahradit. Přestože Injective tvrdí, že škodlivý balíček nikdo nestáhl, bezpečnostní komunita podobné situace obvykle posuzuje konzervativně. V prostředí, kde jediný uniklý klíč může znamenat okamžitou ztrátu prostředků, je opatrnost vždy levnější než následky útoku.

Injective je interoperabilní blockchain první vrstvy zaměřený na DeFi aplikace, přičemž podle dat DefiLlama jeho celková uzamčená hodnota za poslední dva roky výrazně klesla. To ale nic nemění na tom, že incident ukazuje širší problém celého odvětví. Budoucnost bezpečnosti v kryptu se bude stále více rozhodovat i mimo samotný blockchain, v nástrojích, balíčcích a vývojářské infrastruktuře.

Přihlášení k odběru novinek

(Novinky budou zasílány pravidelně každý den v 6 hodin ráno.)

Novinky

Mohlo by vás také zajímat