摘要:Injective的npm开发工具包遭遇恶意篡改,导致私钥与助记词被窃取。该事件通过17个关联包传播,已下载超300次,安全机构警告所有使用相关密钥者均需视为泄露。项目方已弃用受影响版本,但威胁仍在持续。

币圈界报道:
Injective SDK遭恶意注入,开发者密钥面临大规模暴露
安全研究机构Socket披露,Injective生态中一个关键开发工具包在未经许可的情况下被植入恶意代码,造成用户私钥及助记词信息外泄。该异常版本已被下载超过300次,且通过多个关联软件包形成扩散链。
恶意代码借由遥测机制实施数据窃取
经调查,被篡改的@injectivelabs/sdk-ts npm包利用伪造的遥测功能,在用户本地环境中截获钱包密钥生成流程的数据。这些敏感信息被编码后,通过伪装成官方服务的通信地址发送至攻击者控制的服务器。
入侵源头追溯至开发者账户失守
报告指出,此次攻击起源于一名开发者个人GitHub账户遭到入侵。自6月8日起出现异常提交记录,随后恶意代码被植入到1.20.21版本,并迅速蔓延至Injective Labs官方命名空间下的17个其他依赖包中。该工具包日均下载量约为5万次,影响范围广泛。
攻击链路闭环:从单点渗透到多平台扩散
Socket强调,恶意行为不仅限于单一包的污染,还具备横向扩展能力。部分受感染设备被用于将恶意脚本推送回企业级GitHub仓库,形成闭环式传播路径。此外,部分恶意包集成了信息窃取模块、远程控制木马及持久化后门,尤其针对macOS系统展开针对性部署。
行业趋势:开发者工具成为新型攻击靶心
不同于传统对智能合约或协议层的攻击,本次事件凸显出攻击者正转向开发基础设施。安全联盟发布的二季度威胁报告表明,越来越多的恶意软件通过npm、GitHub和Google等主流平台分发。此类攻击往往以“合法”身份进入开发流程,隐蔽性强,难以察觉。
历史背景:加密领域供应链攻击频发
今年3月,Axios项目曾遭遇类似供应链攻击;5月曝光的TrapDoor活动则瞄准了区块链、DeFi、AI及安全领域的开发者群体。5月20日,GitHub也证实因员工终端被攻陷,导致内部仓库遭受未经授权访问。数据显示,2026年上半年,钱包入侵已成为最致命的加密攻击类型,33起事件共造成4.44亿美元损失。
网络现状与治理动态
Injective作为支持去中心化金融应用的可互操作Layer 1网络,其总锁定价值自2024年中期峰值7100万美元下滑至当前820万美元,降幅达88%。为应对市场压力,社区已通过IIP-617提案,在维持原有代币销毁机制的基础上,加速新INJ代币的发行节奏调整。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
