Injective vereitelt NPM-Lieferkettenangriff und sagt, dass keine Gelder gefährdet seien
Crypto Scams

Injective vereitelt NPM-Lieferkettenangriff und sagt, dass keine Gelder gefährdet seien

Von germanlbn

Laut Injective wurde das Problem mit der NPM-Lieferkette vor den Downloads gelöst, ohne dass Benutzergelder gefährdet oder kompromittiert wurden.

Injective sagte, es habe nach mehreren Berichten der öffentlichen Sicherheit einen möglichen Kompromiss im Zusammenhang mit seinen npm-Paketen gelöst. Das Projekt sagte, dass während des Vorfalls keine Benutzergelder gefährdet waren.

Das Team sagte, dass die interne Überwachung das Problem erkannte, bevor eine betroffene Paketversion heruntergeladen wurde. Anschließend wurden die betroffenen Versionen entfernt und ein sauberes Ersatzpaket veröffentlicht.

Injective sagte, dass das bösartige Paket keine Downloads verzeichnete, bevor es veraltet war. Daher wurden Entwickler, die das SDK des Projekts verwenden, durch dieses Paket nicht angezeigt.

Das Update kommt, da Kryptoprojekte zunehmenden Risiken durch Software ausgesetzt sindAngriffe auf die Lieferkette. Darüber hinaus sagte Injective, dass seine Reaktion die Gefährdung der Benutzer verhinderte, bevor das Problem den Produktionseinsatz erreichte.

Injective antwortet auf NPM-Paketberichte

Injective veröffentlichte eine öffentliche Erklärung, nachdem Berichten zufolge seine NPM-Pakete möglicherweise kompromittiert worden seien. Das Team sagte, das Problem sei durch seine eigenen Sicherheitsüberwachungssysteme erkannt worden. Es hieß auch, die Reaktion habe unmittelbar nach Erscheinen der Warnung begonnen.

Die betroffenen Paketversionen galten als veraltet, bevor Entwickler sie aus der Registrierung heruntergeladen haben. Injective ersetzte sie dann durch eine neue saubere Version des Pakets. Diese Aktion verhinderte, dass das verdächtige Paket aktive Entwicklungsumgebungen erreichte.

Das Projekt besagte, dass Benutzer keine Gelder bewegen oder Notfallmaßnahmen ergreifen müssten. Es hieß auch, dass keine Wallets, Guthaben oder On-Chain-Anwendungen betroffen seien. Der Vorfall blieb auf eine Bedrohung durch blockierte Softwarepakete beschränkt.

Es wurden keine Downloads oder Fondsverluste gemeldet

Injective sagte, dass das bösartige Paket vor seiner Entfernung keine Downloads verzeichnete. Dieser Punkt untermauerte die Aussage des Projekts, dass keine Benutzergelder offengelegt wurden. Das Team sagte außerdem, dass während der Veranstaltung keine Gelder verloren gegangen seien.

Das Projekt sagte, dass der versuchte Kompromiss die On-Chain-Systeme von Injective nicht erreicht habe. Von dem Paketproblem waren keine Smart Contracts, Anwendungen oder Benutzertransaktionen betroffen. Dadurch blieb die Veranstaltung außerhalb der Live-Netzwerkumgebung.

Darüber hinaus beschrieb Injective die Angelegenheit als einen Supply-Chain-Versuch durch Entwicklertools. Solche Versuche zielen auf Softwarepakete ab, die von Entwicklern und Anwendungen verwendet werden. In diesem Fall gab das Team an, dass die Erkennung erfolgt sei, bevor die Entwickler die betroffene Version zurückgezogen hätten.

Lesen Sie auch:Bullish: Neue Abstimmung über injective Governance könnte das INJ-Angebot um die Hälfte reduzieren

Injective fügt weitere Sicherheitsmaßnahmen hinzu

Injective sagte, dass seine NPM-Pakete weit verbreitete SDK-Tools im Kryptosektor seien. Aus diesem Grund sagte das Projekt, dass die Paketsicherheit weiterhin oberste Priorität habe. Das Team sagte außerdem, dass es nach dem Vorfall weitere Schutzmaßnahmen hinzugefügt habe.

Das Projekt sagte, dass die neuen Änderungen dazu dienen sollen, die Wiederholung ähnlicher Versuche zu verhindern. Nach dem Paketaustausch wurde den Benutzern keine aktive Bedrohung gemeldet. Entwickler wurden angewiesen, sich auf die aktualisierte saubere Paketversion zu verlassen.

Injektivhat auch auf seinen Mainnet-Rekord seit dem Start vor fast fünf Jahren verwiesen. Das Projekt sagte, dass in diesem Zeitraum keine Sicherheitslücke in der Kette erfolgreich ausgenutzt wurde. Laut Injective war das NPM-Problem vorerst eingedämmt, bevor es dem Benutzer bekannt wurdegeschah.

Quelle: Live Bitcoin News

germanlbn

Über den Autor

germanlbn

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert