受损的 Injective SDK 通过虚假遥测发送钱包密钥

Socket 发现,对 Injective 开发人员包的恶意更新在下载超过 300 次后暴露了私钥和种子短语。

摘要

  • Socket 发现受损的 Injective npm 软件包通过虚假遥测复制私钥和种子短语。
  • 该恶意版本已被下载超过 300 次,并通过 17 个相关的 Injective Labs 软件包进行传播。
  • CertiK 报告称,钱包泄露在 2026 年上半年造成了 4.44 亿美元的损失。

根据安全公司 Socket 的说法,@injectivelabs/sdk-ts npm 软件包的 1.20.21 版(每周下载量约为 50,000 次)在开发者的 GitHub 帐户被盗后更改了。可疑提交于 6 月 8 日开始,恶意版本随后被固定在 Injective Labs npm 范围内的其他 17 个软件包中。

该安全公司表示,该代码拦截了钱包密钥生成功能,记录私钥和恢复短语,然后对数据进行编码,并通过虚假遥测将其发送到一个类似于 Injective 服务器的网址。

Socket 表示,“通过受影响的包传递的任何密钥或助记词都应被视为已泄露”,并警告说,即使应用程序没有直接安装 SDK,也可能已暴露。

尽管受感染的开发人员很快检测到了入侵,并且恶意软件包版本已被删除,但 Socket 表示该活动尚未完全遏制。

Injective 首席执行官 Eric Chen 表示,受影响的 npm 版本已被弃用,问题已得到解决。 Chen 补充说,Injective 网络上的资金没有面临风险,而 Socket 没有报告该恶意软件是否导致资产被盗。

开发者成为目标

该操作不是攻击区块链的密码学或智能合约,而是针对开发人员用来构建钱包、交易所和应用程序的软件。安全联盟在其第二季度威胁报告中表示,攻击者越来越多地使用 GitHub、npm 和 Google 等平台来分发恶意软件。

海豹突击队表示,在某些事件中,受感染的机器被用来将恶意代码推送到公司自己的 GitHub 存储库中,从而使一次漏洞成为进一步传播的渠道。该报告还列举了更多结合信息窃取程序、远程访问木马和后门的跨平台恶意软件包,其中针对 macOS 的活动有所增加。

3 月份,Axios npm 版本遭到了类似的供应链攻击,而 5 月份发现的 TrapDoor 活动则针对加密货币、DeFi、人工智能和安全领域的开发人员。 5 月 20 日,GitHub 还披露了在员工设备遭到入侵后对内部存储库进行未经授权的访问。

根据 CertiK 的数据,钱包泄露是 2026 年上半年代价最高的加密攻击方法,在 33 起案件中损失了 4.44 亿美元。

DefiLlama 数据显示,Injective 是 DeFi 应用程序的可互操作第 1 层,其锁定总价值从 2024 年中期 7100 万美元的峰值下降了 88% 至 820 万美元。今年早些时候,社区成员批准了 IIP-617,加速减少新的 INJ 发行,同时保留现有的代币销毁。

免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。

本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复

(0)
链答报道的头像链答报道
上一篇 2026年 7月 10日 下午1:15
下一篇 2026年 7月 10日 下午2:15

相关推荐