Injective开发工具包遭恶意更新,私钥泄露风险引发行业警觉
Injective SDK遭恶意更新:私钥与助记词被远程窃取
安全机构Socket披露,Injective生态中一个核心开发工具包在经历恶意更新后,致使用户私钥及助记词遭到非法获取。该受感染版本已被下载逾300次,构成严重安全隐患。
恶意软件通过伪造遥测机制实现数据外泄
调查发现,被篡改的Injective npm包利用伪造的遥测功能,隐蔽地捕获用户钱包生成过程中的敏感信息。这些数据经编码后,通过伪装成官方服务的地址发送至攻击者控制的服务器,进一步扩大了影响范围。
多平台传播链暴露供应链脆弱性
原@injectivelabs/sdk-ts软件包的1.20.21版本,在一名开发者账户被攻破后遭植入恶意代码。自6月8日起出现异常提交记录,并迅速蔓延至17个同源命名空间下的其他开发组件。该包周均下载量达5万次,暴露出关键基础设施的潜在风险。
攻击手法隐蔽,影响范围远超预期
恶意代码在执行时会拦截密钥生成流程,自动记录私钥与恢复短语,并通过伪造的遥测通道外传。即便未直接安装该SDK的应用程序,也可能因依赖链关系而受到波及。安全团队强调,所有曾使用过该版本的密钥均应视为已泄露。
项目方回应:漏洞已修复,网络资金无损
Injective首席执行官Eric Chen确认,受影响版本已被正式弃用,相关问题已由团队修复。他同时指出,当前网络内资产未受直接影响,且暂无证据表明攻击已导致实际资金被盗。
开发者成为新型攻击核心目标
不同于传统针对合约或协议的攻击方式,此次事件聚焦于开发者所使用的底层工具链。安全联盟报告称,攻击者正越来越多地借助GitHub、npm等公共平台分发恶意代码。部分案例中,入侵设备甚至被用来向企业自有仓库推送恶意更新,形成闭环传播路径。
行业背景:供应链攻击呈常态化趋势
今年早些时候,Axios的npm包也曾遭遇类似攻击;5月曝光的TrapDoor行动则集中针对加密、DeFi、AI及安全领域开发者。此外,GitHub于5月20日通报一起内部仓库被员工设备漏洞渗透事件。数据显示,2026年上半年,钱包入侵成为最致命的攻击类型,33起事件共造成4.44亿美元损失。
Injective作为支持去中心化金融应用的可互操作Layer 1网络,其总锁定价值已从2024年中期的7100万美元降至820万美元,跌幅高达88%。为应对市场挑战,社区近期通过IIP-617提案,优化代币销毁机制并加速新INJ代币发行节奏。
一分钟读懂:Injective的npm开发工具包遭恶意篡改,导致私钥与助记词外泄。该事件通过17个关联包传播,已下载超300次。安全公司警告,相关密钥需立即更换,且攻击可能仍在持续。
