黑客攻陷Injective下载量达5万的SDK,盗取开发者助记词

区块链文库报道:

黑客将钱包窃取恶意软件植入官方 Injective 开发者包

黑客将钱包窃取恶意软件植入官方 Injective(INJ)开发者包中,该包每周平均下载量达 5 万次。受污染版本在快速清理前已被下载 310 次。

关键点:

• Injective 主 TypeScript 开发套件的受污染版本,会在正常使用过程中窃取钱包助记词和私钥。

• 恶意版本共扩散至 18 个软件包,被下载 310 次,存活时间不足一小时。

• 研究人员表示,任何经受影响版本处理的密钥都应视为已泄露。

Injective SDK 后门细节

安全公司 Socket 披露,npm 上的 @injectivelabs/sdk-ts 软件包 1.20.21 版本遭到篡改,攻击者利用 GitHub 上一个受入侵的贡献者账号植入恶意代码。该开发套件是 Injective 公链上钱包、交易所和交易机器人的核心构建模块。Injective 是一个专为去中心化金融设计的 Layer 1 区块链。

恶意代码伪装成无害的使用分析工具,并钩取了将助记词或原始私钥转换为可用签名密钥的函数。每当应用程序调用这些函数时,恶意代码会静默记录密钥信息,每两秒批量发送一次,并伪装成合法的 Injective 基础设施将数据发送至服务器。被盗信息被嵌入请求头中,从而混入正常流量。

自动发布机制在首次恶意提交后的几分钟内,将同一受污染版本推送至 17 个相关软件包,扩大了受影响范围——即使未直接安装该开发套件的团队也未能幸免。提交级别分析显示,恶意载荷于 7 月 8 日上线,不到一小时便被撤销,随后发布了干净的 1.20.23 版本。

据称,Injective 首席执行官 Eric Chen 表示该问题已修复,网络上的资金安全无虞。然而,受污染版本仅在 npm 上被标记为“已弃用”而未删除,仍可下载。披露时,GitHub 上仍留有该恶意版本的构建产物。

为何加密钱包密钥成为攻击目标

研究人员称,此次入侵对“处理 Injective 钱包工作流程的开发者及应用程序而言影响重大”,但未说明是否有资产被盗。团队被敦促将任何经受影响版本处理的密钥或助记词视为已泄露,将资金转移至新钱包,并轮换环境中的所有机密信息。

此类攻击从未触及区块链本身的加密机制。入侵者而是污染开发者所依赖的可信工具,将单个被劫持的账号转化为分发渠道,悄无声息地影响数千个下游应用。分析人士指出,仅受污染的该开发套件就有 87 个其他 npm 软件包直接依赖它。

这一事件为开源加密工具领域近期频繁发生的安全危机再添一笔:此前 3 月 Axios 的 npm 发布版本遭类似入侵,5 月又爆发针对加密和 DeFi 开发者的 TrapDoor 恶意软件活动。CertiK 将钱包入侵列为 2026 年上半年代价最高的攻击手段,33 起事件共造成 4.44 亿美元损失。

© 版权声明
THE END
喜欢就支持一下吧
分享