Injective开发工具包遭恶意更新,私钥泄露风险引发行业警觉

Injective SDK遭恶意注入,开发者密钥面临大规模暴露

安全研究机构Socket披露,Injective生态中一个核心开发工具包在经历非法更新后,引发用户私钥与助记词外泄。该恶意版本累计被下载逾300次,且通过多个关联软件包实现跨项目扩散。

伪造遥测机制窃取敏感信息

调查发现,被入侵的@injectivelabs/sdk-ts npm包在1.20.21版本中植入了伪装成正常功能的恶意代码。攻击者利用伪造的遥测数据通道,将捕获的钱包密钥及恢复短语编码并发送至仿冒服务器,从而完成信息窃取。

攻击链路始于GitHub账户泄露

该漏洞源于一名开发者个人GitHub账户被攻破,其提交记录自6月8日起出现异常活动。随后,恶意代码被同步至Injective Labs官方命名空间下的17个相关软件包,形成系统性传播路径。该工具包原每周下载量约5万次,影响范围广泛。

攻击未终止,潜在风险持续存在

尽管相关版本已被迅速下架,但安全团队指出,任何曾使用该工具包生成的密钥均应视为已泄露。即使应用本身未直接集成此SDK,仍可能因依赖链受污染而面临间接威胁。目前攻击行为尚未完全遏制。

项目方回应:网络资金无损,问题已修复

Injective首席执行官Eric Chen确认,涉事npm版本已被正式弃用,漏洞也已完成修补。他强调,当前网络内用户资产未受到实际损失,且暂无证据显示已有资金被盗。不过,安全团队仍建议所有用户立即更换密钥。

瞄准开发者生态的新型攻击模式

此次事件并非针对协议或智能合约,而是以开发者工具为突破口,精准打击钱包、交易所和应用构建者。据安全联盟报告,此类基于GitHub、npm和Google平台的供应链攻击正日益频繁,部分攻击者甚至借由受感染设备向企业内部仓库推送恶意代码,形成闭环渗透。

跨平台恶意软件呈上升趋势

近期报告揭示,多款恶意包集成了信息窃取器、远程控制木马及后门程序,其中对macOS系统的攻击频率显著增加。类似手法在2024年一季度已多次出现,成为高价值目标攻击的新常态。

行业背景:供应链攻击频发,损失惨重

今年3月,Axios的npm包曾遭遇同类攻击;5月曝光的TrapDoor行动则覆盖加密、DeFi、AI与安全领域开发者。同月,GitHub亦承认因员工设备失守导致内部仓库被非法访问。根据CertiK统计,2026年上半年钱包入侵是造成最大经济损失的攻击类型,33起事件共致4.44亿美元资产流失。

Injective作为支持去中心化金融应用的可互操作Layer 1网络,其总锁定价值已从2024年中期的7100万美元降至820万美元,降幅达88%。今年初,社区通过IIP-617提案,在维持原有代币销毁机制的基础上,进一步加速新INJ代币的发行减缓进程。