黑客投毒 Injective每周5万次下载的SDK,窃取开发者钱包助记词


黑客将窃取钱包密钥的恶意代码悄然注入官方 Injective (INJ) 开发套件中。该套件在 npm 上每周下载量约 5 万次,而被投毒的版本在被紧急下架前已被下载 310 次。

Injective SDK 后门事件详情

安全公司 Socket 周四披露,npm 上 @injectivelabs/sdk-ts 包的 1.20.21 版本被人通过一个遭入侵的 GitHub 贡献者账号篡改。该工具包是 Injective 生态中钱包、交易所和量化交易机器人等应用的核心依赖,Injective 是面向去中心化金融的 Layer 1 区块链。

恶意代码伪装成“使用分析”模块,钩住了将助记词或原始私钥转换为签名密钥的关键函数。每当应用调用这些函数时,它就静默记录这些敏感信息,按两秒一批打包,并发送至一个伪装成 Injective 官方基础设施的服务器。被盗数据藏在请求头中,便于混入普通网络流量而不易被发现。

自动发布流程则在首个恶意提交出现后的数分钟内,将同一毒化版本同步至另外 17 个相关 npm 包,放大了风险暴露范围——即便一些团队从未直接安装过该主包,也可能通过依赖链受到影响。

另一家安全机构的提交级分析显示,恶意载荷于 7 月 8 日上线,在不到一小时内被撤回,随后发布了干净的 1.20.23 版本。

据报道,Injective 首席执行官 Eric Chen 表示,问题已被修复,链上资金安全不受影响。不过,受感染版本在 npm 上只是被标记为“弃用”(deprecated),而非完全删除,理论上仍可被下载。在安全事件披露时,与该恶意构建相关的产物在 GitHub 上也依然可见。

为何瞄准的是加密钱包密钥

研究人员称,此次事件“对处理 Injective 钱包流程的开发者和应用影响重大”,但尚未披露是否已经发生实质资产损失。安全团队敦促:只要助记词或私钥曾经在受影响版本环境中生成、导入或使用过,都应视为已泄露,相关资金应立即迁移至全新钱包,并轮换环境中的全部密钥与机密。

此类攻击并不会直接破坏区块链底层的密码学算法,而是从“供应链”下手:攻击者投毒开发者高度信任的工具,将一次账号劫持转化为覆盖数千个下游应用的分发通道。

分析人士指出,仅此次被投毒的 Injective SDK 本身,就有 87 个 npm 包直接依赖它。

这起事件为开源加密开发工具的安全再度敲响警钟。今年以来,类似风险持续上升:3 月,Axios 的 npm 包曾发生供应链投毒;5 月,TrapDoor 恶意软件行动针对加密与 DeFi 开发者发起攻击。区块链安全机构 CertiK 在最新报告中将“钱包被攻破”列为 2026 年上半年损失最惨重的攻击手法,仅该类事件就造成 33 起安全事故、合计约 4.44 亿美元损失。

本文链接地址:https://www.wwsww.cn/hqfx/39903.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。