2026-07-10 16:03:02
icon loading...

被攻破的Injective SDK通过虚假遥测泄露钱包密钥

摘要
恶意更新致Injective开发工具包泄露私钥与助记词Socket发现,Injective的一个开发工具包在遭受恶意更新后,导致私钥和助记词遭到泄露。该更新版本已被下载超过300次。事件概述Socket指出,一个被篡改的Injective npm软件包通过伪造的遥测技术,窃取了用户的私钥和助记词。该恶意版本被下载超过3

恶意更新致Injective开发工具包泄露私钥与助记词

Socket发现,Injective的一个开发工具包在遭受恶意更新后,导致私钥和助记词遭到泄露。该更新版本已被下载超过300次。

事件概述

Socket指出,一个被篡改的Injective npm软件包通过伪造的遥测技术,窃取了用户的私钥和助记词。该恶意版本被下载超过300次,并通过17个相关的Injective Labs软件包进一步传播。

事件细节

根据安全公司Socket的报告,每周下载量约5万次的@injectivelabs/sdk-ts npm软件包,其1.20.21版本在一名开发者的GitHub账户被入侵后遭到篡改。可疑的提交活动始于6月8日,随后该恶意版本被推广至Injective Labs npm命名空间下的17个其他软件包中。

安全公司表示,恶意代码拦截了钱包密钥生成功能,记录了私钥和恢复短语,并对数据进行了编码处理。随后,这些数据通过伪造的遥测信息,被发送至一个仿冒Injective服务器的网址。

Socket警告称:“任何在受感染软件包中使用的密钥或助记词都应被视为已泄露。”该公司同时提醒,即使应用程序未直接安装该SDK,也可能因此受到威胁。

尽管受影响的开发者迅速察觉并移除了恶意软件包版本,但Socket认为该攻击活动尚未完全得到控制。

项目方回应

Injective首席执行官Eric Chen表示,受影响的npm版本已被弃用,相关问题也已得到修复。Chen补充说,Injective网络上的资金并未面临风险,而Socket方面也未报告该恶意软件是否导致资产被盗。

针对性攻击:开发者成目标

与攻击区块链密码学或智能合约的方式不同,此次攻击瞄准的是开发者用于构建钱包、交易所和应用程序的开发工具。安全联盟在二季度威胁报告中指出,攻击者越来越多地利用GitHub、npm和Google等平台来分发恶意软件。

安全联盟表示,在某些事件中,受感染的计算机被用于将恶意代码推送到公司自身的GitHub仓库中,使一次入侵成为进一步传播的渠道。报告还列举了更多跨平台恶意软件包,这些软件包结合了信息窃取器、远程访问特洛伊木马和后门程序,其中针对macOS平台的攻击活动有所增加。

行业背景

今年3月,Axios的npm版本曾遭遇类似的供应链攻击。5月发现的TrapDoor攻击活动则将矛头指向了加密货币、去中心化金融、人工智能和安全领域的开发者。GitHub也于5月20日披露了一起事件:由于一名员工设备被入侵,其内部仓库遭到未经授权的访问。

根据CertiK的数据,钱包入侵是2026年上半年损失最惨重的加密货币攻击方式,在33起事件中,共造成4.44亿美元被盗。

Injective是一个面向去中心化金融应用的可互操作Layer 1网络。数据显示,该网络的总锁定价值已从2024年中期的7100万美元峰值跌至820万美元,跌幅达88%。今年早些时候,社区成员通过了IIP-617提案,该提案在保留现有代币销毁机制的同时,加快了新INJ代币发行的缩减速度。

声明:文章不代表币圈网观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险自担!转载请注明出处!侵权必究!
币圈快讯
查看更多
回顶部