ハッカーが、週平均5万回ダウンロードされるInjective (INJ)の公式開発者向けパッケージに、ウォレット窃取型マルウェアを紛れ込ませていたことが分かった。改ざん版は迅速な対応で削除されるまでに310回ダウンロードされていた。
主なポイント
- Injectiveの主要TypeScript SDKの一部バージョンにバックドアが仕込まれ、通常利用の過程でウォレットのシードフレーズや秘密鍵をコピーしていた。
- 悪意あるリリースは合計18パッケージに波及し、310回ダウンロード。公開から1時間未満で差し替えられた。
- 研究者は、問題バージョンを経由した全ての鍵を「漏えいしたもの」と見なし、即時の鍵・ウォレット移行を推奨している。
Injective SDKバックドアの詳細
セキュリティ企業Socketは木曜日、npm上の@injectivelabs/sdk-tsパッケージ版1.20.21が、GitHubにおける貢献者アカウントの乗っ取りを通じて改ざんされていたと公表した。このSDKは、Injective上のウォレット、取引所、トレーディングボットなどの基盤となる中核コンポーネントだ。Injectiveは分散型金融(DeFi)向けに設計されたレイヤー1ブロックチェーンである。
挿入された不正コードは一見すると単なる利用状況の分析機能を装い、シードフレーズや生の秘密鍵から署名用鍵を生成する関数にフックを仕掛けていた。アプリケーションがこれらの関数を呼び出すたびに、秘密情報を密かに記録し、2秒ごとにバッチ化して、正規のInjectiveインフラを装ったサーバーへ送信。盗まれたデータはリクエストヘッダー内に埋め込まれ、通常の通信に紛れるよう工夫されていた。
自動公開プロセスにより、同じ悪性コードを含むバージョンが、最初の悪意あるコミットから数分以内に関連17パッケージへ一斉に展開され、SDKを直接インストールしていない開発チームにもリスクが広がった。
コミットレベルの分析では、このペイロードは7月8日に有効化され、1時間足らずで差し替えられたことが確認されている。直後にクリーンな版1.20.23がリリースされた。
Injectiveのエリック・チェンCEOは、問題はすでに解消されており、ネットワーク上の資産にリスクは生じていないとの認識を示している。ただし、当該改ざん版はnpm上で「非推奨」扱いにされたのみで完全削除はされておらず、形式上は依然としてダウンロード可能な状態だ。公表時点では、改ざんビルドの成果物もGitHub上に残存していた。
関連記事: ソラナETF、Bitwiseの新申請で現実味増すとの見方
なぜ暗号資産ウォレット鍵が狙われたのか
研究者らは今回の侵害について、「Injectiveウォレットのフローを扱う開発者およびアプリケーションにとって重大な事案」と位置づける一方、実際に資産が盗難被害にあったかどうかについては明らかにしていない。
それでも、影響を受けたバージョンに触れた可能性のある全ての秘密鍵およびニーモニックについては漏えい済みとみなし、資産を新しいウォレットへ退避させ、開発・運用環境内のあらゆるシークレットを全面的にローテーションするよう強く促している。
この種のサプライチェーン攻撃は、ブロックチェーンそのものの暗号技術を破るわけではない。攻撃者は代わりに、開発者が信頼して利用しているツール群を汚染し、乗っ取った1つのアカウントをテコに、静かに数千の下流アプリケーションへと侵害を拡散させる。
分析によれば、今回問題となったSDKだけでも、直接の依存関係として87のnpmパッケージを抱えていると報告されており、間接的な影響範囲はさらに広い可能性がある。
今回の一件は、オープンソースの暗号資産向けツール群にとって厳しい局面が続くなかで発生した。3月にはAxiosのnpmリリースが同様の手口で改ざんされ、5月には暗号資産およびDeFi開発者を狙うTrapDoorマルウェアキャンペーンが報告されたばかりだ。監査企業CertiKは、2026年上半期の攻撃手口のなかでウォレット侵害を最も高コストなベクターと位置づけ、33件のインシデントで計4億4,400万ドルが失われたと試算している。





