GitHub ของ Injective Labs ถูกเจาะ ปล่อยแพ็กเกจ npm ขโมยกุญแจกระเป๋าคริปโต

ผู้ก่อภัยคุกคามเจาะ GitHub repository ของโครงการ Injective Labs SDK แล้วใช้ปล่อยแพ็กเกจอันตรายบน npm เพื่อขโมย private key และ mnemonic seed phrase ของกระเป๋าคริปโต เวอร์ชันที่ถูกเจาะคือ @injectivelabs/sdk-ts@1.20.21 ฝังฟังก์ชัน telemetry ปลอมที่ขโมยข้อมูลกระเป๋า พร้อมกระจายเวอร์ชันเดียวกันไปยังอีก 17 แพ็กเกจในเครือ การโจมตีใช้บัญชี maintainer ที่ไว้ใจได้ผ่าน trusted-publisher (OIDC) pipeline ผู้ใช้ที่ติดตั้งควรอัปเดตเป็นเวอร์ชันสะอาด 1.20.23 และเปลี่ยนกุญแจทั้งหมดทันที