Socket cho biết gói npm @injectivelabs/sdk-ts của Injective đã bị sửa mã độc, có thể đánh cắp private key và mnemonic phrase của ví người dùng.
Gói này có khoảng 50.000 lượt tải mỗi tuần. Phiên bản độc hại 1.20.21 bắt đầu xuất hiện commit đáng ngờ từ ngày 8/6 và được chèn vào 17 gói khác trong phạm vi npm của Injective Labs.
Ngay cả người dùng không cài trực tiếp SDK này vẫn có thể bị ảnh hưởng. Theo mô tả, mã độc mã hóa dữ liệu bị lấy cắp rồi gửi tới một địa chỉ được ngụy trang như máy chủ hợp lệ của mạng Injective.
CEO Injective Eric Chen cho biết sự cố đã được khắc phục, phiên bản bị ảnh hưởng đã bị loại bỏ và tiền trên mạng không gặp rủi ro. Tuy vậy, gói độc hại đã được tải hơn 310 lần, và Socket nói vụ việc chưa được ngăn chặn hoàn toàn.