Cointelegraph#Injective#امنیت_کریپتو#npm#supply_chain_attack#کیفپول
تلاش هکرها برای نفوذ به پکیج npm اینجکتیو و سرقت کلیدهای کیفپول
July 10, 2026
هکرها تلاش کردند پکیج npm اینجکتیو را آلوده کنند تا کلیدهای خصوصی کیفپولهای کریپتو را به سرقت ببرند.
هکرها در یک حمله زنجیره تأمین نرمافزاری، تلاش کردند تا بدافزاری را در پکیج npm رسمی پروتکل اینجکتیو (Injective) جاسازی کنند. هدف از این حمله، سرقت کلیدهای خصوصی کیفپول کاربران و توسعهدهندگانی بود که از این کتابخانه در پروژههای خود استفاده میکنند.
بر اساس گزارش کوینتلگراف، مهاجمان با نفوذ به زنجیره توزیع پکیج، کدی مخرب را در نسخهای از این کتابخانه قرار دادند که در صورت نصب توسط توسعهدهندگان، میتوانست کلیدهای خصوصی کیفپولها را استخراج و به سرور مهاجمان ارسال کند. این نوع حمله که به «حمله زنجیره تأمین» (Supply Chain Attack) معروف است، یکی از خطرناکترین روشهای نفوذ در اکوسیستم نرمافزاری است، چراکه حتی کاربرانی که احتیاط میکنند نیز در معرض خطر قرار میگیرند.
اینجکتیو یک پروتکل بلاکچین لایه یک مبتنی بر Cosmos است که روی حوزههای مالی غیرمتمرکز (DeFi) تمرکز دارد و پکیج npm آن توسط توسعهدهندگانی که قراردادهای هوشمند یا اپلیکیشنهای وبری را بر روی این شبکه میسازند، مورد استفاده قرار میگیرد.
این حادثه بار دیگر نگرانیهای جدی درباره امنیت اکوسیستم npm در حوزه کریپتو را برجسته میکند. پیش از این نیز حملات مشابهی به پکیجهای محبوب کریپتو از جمله پکیجهای مرتبط با Solana و سایر پروتکلها صورت گرفته بود.
توسعهدهندگانی که از این کتابخانه استفاده میکنند باید فوراً نسخه نصبشده را بررسی کرده و در صورت استفاده از نسخه آلوده، کلیدهای خصوصی خود را بهعنوان فاششده تلقی کنند و هرچه سریعتر داراییهای خود را به کیفپولهای جدید منتقل نمایند. تیم امنیتی اینجکتیو اعلام کرده که موضوع را بررسی کرده و نسخه پاکسازیشده منتشر شده است.