黑客通过破坏广泛使用的 Injective Labs npm 软件包、嵌入旨在窃取加密货币钱包私钥和种子短语的恶意软件来执行软件供应链攻击。安全公司 Socket 周四披露,@injectivelabs/sdk-ts 软件包的 1.20.21 版本(每周下载量约为 50,000 次)通过被泄露的开发者 GitHub 帐户进行了更改,从 6 月 8 日开始出现可疑提交。
恶意代码拦截了在 Injective 区块链上构建的开发人员常用的钱包密钥派生函数,秘密记录私钥和助记词,然后通过伪装的遥测将其泄露到模仿官方 Injective 端点的服务器。 Socket 警告说,通过受影响的包处理的任何密钥或助记词都应被视为已泄露。
尽管受损版本在删除前已被下载超过 310 次,但 Injective 首席执行官 Eric Chen 确认问题已得到解决,受污染的 npm 版本已被弃用。他强调,没有网络资金面临风险,但 Socket 并未确认是否发生任何盗窃事件。
该后门软件包还被固定在 Injective Labs npm 范围内的其他 17 个软件包中,可能会暴露从未直接安装过 SDK 的用户。 Socket 指出,尽管开发人员做出了迅速反应,但该活动可能尚未完全得到遏制。
此事件反映了攻击者利用 GitHub 和 npm 等合法平台传播恶意软件的趋势不断增长。据安全联盟 (SEAL) 称,2026 年第二季度,越来越多地使用受感染的开发者帐户将恶意代码推送到官方存储库中。最近的类似攻击包括 3 月份的 Axios npm 漏洞和 5 月份针对加密货币、DeFi、人工智能和安全开发人员的 TrapDoor 活动。
CertiK 周一报告称,钱包泄露是 2026 年上半年代价最高的攻击媒介,共 33 起事件导致 4.44 亿美元被盗。
受感染的 npm 软件包被下载了 310 次。来源:套接字
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复