Injective 开发包遭后门入侵,310 次下载暴露密钥风险

比特币 2026-07-10 14:04:01
核心提要:npm 上 Injective 官方开发套件被植入窃密恶意代码,短短一小时内扩散至 18 个包,310 次下载中密钥信息遭泄露。尽管版本已弃用,但残留构建物仍可访问,威胁持续存在。

Injective 开发工具链遭恶意注入,密钥泄露风险波及全生态

攻击者将钱包窃取型恶意软件嵌入官方 Injective(INJ)开发者工具包,该包每周平均下载量达 5 万次。受污染版本在被发现并清除前已被下载 310 次,潜在影响范围广泛。

核心开发依赖项遭篡改,密钥数据被隐蔽外传

受影响的 @injectivelabs/sdk-ts 软件包 1.20.21 版本被植入恶意逻辑,伪装为常规使用分析模块。当应用程序调用密钥转换函数时,恶意代码会静默捕获助记词与私钥,并每两秒批量发送至指定服务器,数据通过请求头伪装成正常基础设施通信。

自动分发机制扩大污染范围,修复响应仅在一小时内完成

攻击者利用一个被攻陷的 GitHub 贡献者账户,在首次提交后几分钟内触发自动发布流程,使同一受感染版本蔓延至 17 个关联软件包。整个事件从上线到撤销不足一小时,随后发布干净的 1.20.23 版本。然而,原始版本未被彻底删除,仍可在 npm 平台下载,且其构建产物残留在 GitHub 仓库。

加密生态信任链断裂,开发者需全面重置密钥体系

研究团队指出,所有经由该版本处理过的助记词与私钥均应视为已泄露,建议立即迁移资金至新钱包,并更换环境中所有敏感凭证。此次攻击未影响区块链底层加密机制,而是通过污染可信开发工具,将单一账号变为大规模传播节点。目前已有 87 个 npm 包直接依赖该组件,形成潜在连锁风险。此事件延续了 2024 年初以来对开源加密工具的持续威胁态势,包括 3 月 Axios npm 包入侵及 5 月 TrapDoor 恶意活动,CertiK 数据显示,2026 年上半年此类攻击已造成 4.44 亿美元损失。

上一篇 Kaspa 2025-2026 价格飙升...
下一篇 XRP链上卖压加剧,结构性疲软信号浮现...

声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!

币安 Binance
币安交易所是全球加密货币交易所,注册奖励 500U