Hur 18 paket fick en bakdörr
Klockan 20:24 UTC den 8 juli 2026 lämnade en wallet som laddade det senaste bygget av @injectivelabs/sdk-ts tyst över sin seed-fras till en angripare. Den första skadliga committen hade just landat och förblev aktiv i ungefär 49 minuter innan någon märkte det.
Angriparna bröt sig inte in med våld. De använde GitHub-kontot från en väletablerad, betrodd bidragsgivare för att pusha tre commits som lade en bakdörr i SDK:t i version 1.20.21, plus 17 beroende paket låsta till exakt den versionen. Arton paket totalt bar samma gift. Bakdörren kapade PrivateKey.fromMnemonic() och PrivateKey.fromHex(), så att den exfiltrerade BIP-39-seed-fraser och privata nycklar i samma ögonblick som en wallet startade.
Det skedde omkring 310 nedladdningar innan underhållaren upptäckte det, återställde och gav ut en ren 1.20.23. Injective Labs säger att inga användarmedel gick förlorade. Den skadliga versionen märktes som föråldrad på npm i stället för att tas bort, så den ligger kvar i registret som en varningsmarkör.
Den betrodda pipelinen var den svaga punkten
Skyddet var själva leveransmekanismen. Den skadliga versionen färdades genom Injective Labs egen betrodda utgivarpipeline på npm, OIDC-vägen som byggts just för att ta bort risken för en stulen publiceringstoken.
Det är den obekväma delen. OIDC-betrodd publicering betyder att ett paket kan ges ut utan någon långlivad npm-token att stjäla, vilket är en verklig säkerhetsvinst. Men det betyder också att ett komprometterat mänskligt konto plus ett automatiserat bygge gör den tilliten till angreppsvägen. Det fanns ingen token att läcka eftersom pipelinen själv skötte signeringen, och pipelinen litade på det konto som GitHub förklarade legitimt.
Vad du bör kontrollera i dina egna beroenden
Lärdomen här är allmän, inte kryptospecifik. Varje ansvarig som ger ut mjukvara ärver just den här exponeringen genom transitiva beroenden, de paket som dina paket beror på och som du aldrig valt att installera direkt.
Lås dina transitiva beroenden till kända goda versioner och skanna dem, så att ett byte mitt i flödet på en låst version syns som en ändring i stället för att glida igenom. Behandla automatisering av den betrodda utgivaren som en minskning av en risk, inte borttagandet av alla, eftersom vägen via det komprometterade mänskliga kontot står kvar öppen. Och rotera varje hemlighet, nyckel eller inloggningsuppgift som passerade ett bygge du nu misstänker, utifrån antagandet att den har setts.
Läs vidare: Progress ber ShareFile-användare att dra ur sladden | En Defender-brist ger en användare full kontroll



