Olayın Özeti
Siber güvenlik tehditleri gün geçtikçe artarken, son bir saldırı olayında bilinmeyen aktörler Injective Labs SDK projesinin GitHub deposunu ele geçirerek kötü niyetli bir paket yayınladı. Bu paket, kripto para cüzdanlarının özel anahtarlarını ve mnemonic tohum ifadelerini çalmak için tasarlandı.
Saldırı Nasıl Çalışıyor?
Kötü amaçlı yazılım, ele geçirilen versiyon olan @injectivelabs/[email protected] ile birlikte, sahte telemetri işlevselliği içermekteydi. Bu işlev, kullanıcıların kripto para cüzdanlarından veri kaçırmak amacıyla geliştirilmişti. Ele geçirilen versiyon, 8 Temmuz 2026’da yayımlandı ancak o tarihten itibaren kaldırıldı. Fakat, değiştirilen sürüm dosyaları halen GitHub’dan indirilebilir durumda ve kullanıcıları tehlikeye sokmakta.
Yazılım teslimatı güvenliği şirketi Socket, saldırının arkasındaki kötü niyetli aktörlerin, 17 farklı @injectivelabs paketinde de kötü niyetli SDK versiyonunu yayınladığını ve bu sayede dolaylı kullanıcıları da riske soktuğunu belirtiyor. Bu paketler arasında şunlar bulunmaktadır:
- @injectivelabs/utils
- @injectivelabs/networks
- @injectivelabs/ts-types
- @injectivelabs/exceptions
- @injectivelabs/wallet-base
- @injectivelabs/wallet-core
- @injectivelabs/wallet-cosmos
- @injectivelabs/wallet-private-key
- @injectivelabs/wallet-evm
- @injectivelabs/wallet-trezor
- @injectivelabs/wallet-cosmostation
- @injectivelabs/wallet-ledger
- @injectivelabs/wallet-wallet-connect
- @injectivelabs/wallet-magic
- @injectivelabs/wallet-strategy
- @injectivelabs/wallet-turnkey
- @injectivelabs/wallet-cosmos-strategy
Kötü amaçlı yazılım, söz konusu kütüphanenin işlevi kullanıldığında tetikleniyor ve kurulum aşamasında hayat bulmaktan kaçınarak dikkat çekmiyor. Özellikle, değiştirilen sürüm, özel anahtarları oluşturmak için kullanılan meşru işlevleri değiştirip, “trackKeyDerivation()” isimli işlevi çağırarak anket yapıyor gibi görünmektedir.
Etkilenen Sistemler
Bu saldırı, hem doğrudan @injectivelabs/[email protected] versiyonunu kullananlar için hem de dolaylı olarak bağımlı paketleri kullanan kullanıcılar için büyük bir tehdit oluşturuyor. Dolayısıyla bu paketlerden herhangi birine bağımlı olan projelerde bulunan her geliştirici riske atılmış durumda.
Kötü amaçlı yazılım, bu işlev yoluyla kripto cüzdanlarının anahtar türetme yöntemlerini (hex, mnemonic) dinleyerek bu bilgileri bir araya getiriyor ve sızdırıyor. Kötü niyetli aktörler, bu verilerle özel anahtarları kendi sistemlerinde yeniden üretmek için yeterli verilere ulaşabiliyor.
Çözüm ve Korunma
Kullanıcılara şu adımlar atılması önerilmektedir:
- Ele geçirilen versiyonu (1.20.21) kullananlar, güncellenmiş ve temiz sürüm olan 1.20.23 versiyonuna geçmelidir.
- Herhangi bir özel anahtar veya mnemonic ifadeyi tehdit altında olarak kabul edip, bu bilgileri değiştirmelidir.
- Dolaylı bağımlılıkları kontrol ederek, risk altındaki paketleri belirlemelidir.
Sonuç olarak, yazılım geliştiricilerin dikkatli olmaları ve üçüncü taraf kütüphaneleri kullanırken her zaman güvenlik ön planda tutmaları gerekir.


