摘要:Injective的npm开发工具包因遭恶意篡改,导致私钥与助记词被窃取。该事件通过17个关联包传播,已下载超300次,安全机构警告相关密钥需视为已泄露。

币圈界报道:
Injective SDK遭恶意注入,开发者密钥面临大规模外泄
安全研究机构Socket披露,Injective生态中一个关键开发工具包在遭受恶意更新后,造成用户私钥及助记词信息被非法获取。该异常版本已被下载超过300次,且通过多个关联项目实现跨链扩散。
伪造遥测机制触发数据外泄
报告指出,攻击者通过劫持开发者GitHub账户,在@injectivelabs/sdk-ts软件包中植入伪装为正常功能的恶意代码。该代码利用伪造的遥测模块,实时捕获钱包生成过程中的敏感信息,并将加密后的数据发送至仿冒服务器,完成隐蔽传输。
攻击路径蔓延至17个衍生包
受影响的1.20.21版本最初于6月8日出现异常提交记录,随后被嵌入到Injective Labs官方命名空间下的17个其他npm包中。尽管主包每周下载量达5万次,但此次攻击未被及时发现,暴露出开源生态中依赖链的安全脆弱性。
即使未直接使用也存潜在风险
Socket强调,任何曾调用该版本工具的项目,无论是否直接集成,均可能受到波及。恶意代码可拦截密钥生成流程并持久驻留,使系统长期处于被监控状态。即便当前已移除受感染版本,仍存在残留威胁的可能性。
项目方回应:弃用旧版,网络资金无损
Injective首席执行官Eric Chen确认,涉事版本已被立即弃用,漏洞已在最新发布中修复。他同时表示,目前未发现资产被盗情况,网络本身未受直接影响,但提醒所有开发者全面审查自身环境。
开发者成新目标:供应链攻击趋势上升
不同于传统针对合约或节点的攻击,本次事件聚焦于开发工具链。安全联盟数据显示,2024年第二季度,针对开发者生态的供应链攻击数量同比增长67%。部分案例中,入侵设备被用于向企业内部仓库推送恶意代码,形成闭环传播。
跨平台恶意包泛滥,macOS成重点
报告揭示,当前恶意软件包常集成了信息窃取、远程控制和后门功能,尤其针对macOS平台的攻击活动显著增加。此类工具往往伪装成常用开发库,诱导开发者主动安装,从而绕过常规防护机制。
行业背景:类似事件频发,损失持续扩大
今年3月,Axios npm包曾遭遇相似攻击;5月曝光的TrapDoor行动则覆盖加密、DeFi、AI及安全领域。5月20日,GitHub亦披露因员工设备失守导致内部仓库被非法访问。据CertiK统计,2026年上半年,钱包入侵成为最致命攻击类型,33起事件共造成4.44亿美元资产流失。
Injective作为支持去中心化金融应用的Layer 1网络,其总锁定价值自2024年中峰值7100万美元下滑至820万美元,跌幅达88%。社区近期通过IIP-617提案,在维持原有代币销毁机制基础上,加速新INJ代币的发行缩减进程,试图重振生态信心。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
