Injective生态遭供应链攻击,18个包现恶意代码

比特币 2026-07-10 18:03:36
核心提要:Injective官方SDK及关联17个包被植入恶意代码,窃取钱包密钥信息。攻击通过伪装成正常开发提交的代码注入,已引发广泛警觉。尽管资金未受损,但开发者须立即更换密钥并审查依赖。

Injective开发者工具链遭恶意代码渗透,影响范围波及18个npm包

一场针对Injective生态系统的核心开发工具链的供应链攻击被揭露,黑客在官方TypeScript SDK中植入了可窃取钱包助记词与私钥的恶意脚本。该漏洞存在于injectivelabs/sdk-ts的1.20.21版本,由安全机构Socket发现,该包是构建去中心化金融应用、代币化资产及交易所的关键基础设施。

恶意代码借信任关系潜入,隐蔽传播至多个关联包

攻击者利用一名曾有贡献记录的开发者账户提交了含恶意逻辑的代码变更,自6月8日起逐步扩散。该恶意版本被锁定于其他17个隶属于Injective Labs的npm包中,形成连锁风险。恶意逻辑嵌入钱包密钥生成流程,一旦应用调用相关函数,便会自动捕获助记词或私钥,并经Base64编码后,通过伪装为官方基础设施的端点秘密外传,实现流量伪装。

风险覆盖广泛,开发者需全面排查并重置凭证

受影响的18个包合计被下载约310次,但实际泄露仅发生在处理敏感密钥的应用场景下。尽管所有版本已在49分钟内以1.20.23修复并重新发布,且网络资金无损,但安全团队仍建议所有使用过相关依赖的开发者将密钥与助记词视为已暴露。即使未直接安装该SDK,其传递依赖也可能导致系统失陷。权威机构CertiK数据显示,2026年上半年钱包入侵已成为造成经济损失最严重的攻击类型,33起事件即导致超4.44亿美元损失。

上一篇 前SWIFT高管严辞否认XRP整合传闻...
下一篇 Cardano以数字身份破局非洲金融孤岛...

声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!

币安 Binance
币安交易所是全球加密货币交易所,注册奖励 500U