

攻击者将钱包窃取型恶意软件嵌入官方 Injective(INJ)开发者工具包,该包每周平均下载量达 5 万次。受污染版本在被发现并清除前已被下载 310 次,潜在影响范围广泛。
受影响的 @injectivelabs/sdk-ts 软件包 1.20.21 版本被植入恶意逻辑,伪装为常规使用分析模块。当应用程序调用密钥转换函数时,恶意代码会静默捕获助记词与私钥,并每两秒批量发送至指定服务器,数据通过请求头伪装成正常基础设施通信。
攻击者利用一个被攻陷的 GitHub 贡献者账户,在首次提交后几分钟内触发自动发布流程,使同一受感染版本蔓延至 17 个关联软件包。整个事件从上线到撤销不足一小时,随后发布干净的 1.20.23 版本。然而,原始版本未被彻底删除,仍可在 npm 平台下载,且其构建产物残留在 GitHub 仓库。
研究团队指出,所有经由该版本处理过的助记词与私钥均应视为已泄露,建议立即迁移资金至新钱包,并更换环境中所有敏感凭证。此次攻击未影响区块链底层加密机制,而是通过污染可信开发工具,将单一账号变为大规模传播节点。目前已有 87 个 npm 包直接依赖该组件,形成潜在连锁风险。此事件延续了 2024 年初以来对开源加密工具的持续威胁态势,包括 3 月 Axios npm 包入侵及 5 月 TrapDoor 恶意活动,CertiK 数据显示,2026 年上半年此类攻击已造成 4.44 亿美元损失。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.