駭客將竊取錢包金鑰的惡意程式碼,悄悄塞進官方 Injective (INJ) 開發套件中。這個套件在 npm 平均每週下載量約 5 萬次,遭汙染的版本雖然僅被下載 310 次就迅速下架,但已對生態系帶來實質風險。
重點一覽
- Injective 主力 TypeScript SDK 的遭汙染版本,會在正常使用過程中複製錢包助記詞與私鑰。
- 惡意版本共波及 18 個套件,下載次數達 310 次,整體上線時間不到一小時。
- 安全研究人員呼籲,凡是曾經透過受影響版本處理過的任何金鑰,都應視同已經外洩。
Injective SDK 後門事件細節
資安公司 Socket 在週四揭露,npm 上 @injectivelabs/sdk-ts 套件的 1.20.21 版,遭人透過 GitHub 上被入侵的貢獻者帳號竄改。這套 SDK 是 Injective 上錢包、交易所與量化交易機器人等應用的核心元件,而 Injective 則是專為去中心化金融打造的一層區塊鏈。
駭客在程式中偽裝成「無害的使用分析」程式碼,實際上則掛鉤到將助記詞或原始私鑰轉換為可用簽章金鑰的關鍵函式。每當應用程式呼叫這些函式,就會悄悄記錄下機密資料,先暫存約兩秒,再打包送往一台伪裝成 Injective 合法基礎設施的伺服器。
被竊取的助記詞與私鑰被藏在 HTTP 請求標頭中,藉此與一般流量混在一起,降低被偵測的機率。
自動發佈流程進一步放大了影響範圍:在第一個惡意提交完成後短短幾分鐘內,相同的惡意版本就被同步推播到另外 17 個相關 npm 套件,讓許多並未直接安裝主 SDK 的團隊也被波及。
依據後續的提交紀錄分析,顯示 這波攻擊在 7 月 8 日上線,存活時間不到一小時就被回滾,隨後釋出乾淨的 1.20.23 版本。
Injective 執行長 Eric Chen 對外表示,問題已經修補完畢,鏈上資產並未面臨風險。不過,遭汙染的版本在 npm 上僅被標記為已棄用(deprecated),而非完全移除,因此技術上仍可被下載;同時,相關惡意建置產物在事件公開時仍可於 GitHub 上找到。
延伸閱讀:Solana 現貨 ETF 聲浪升溫:Bitwise 最新申請案推動市場關注
為何鎖定加密錢包金鑰?
研究人員指出,這次事件「對處理 Injective 錢包流程的開發者與應用具有重大意義」,但尚未明確說明是否已出現實際資產損失。不過,團隊被強烈建議:凡是曾經透過受影響版本處理過的任何私鑰或助記詞,一律應視為已被竊取,立即將資產轉移至新錢包,並全面更換系統中所有機密憑證。
這類供應鏈攻擊並不直接突破區塊鏈本身的加密技術,而是從「信任工具」下手:駭客污染開發者日常依賴的套件與流程,只要攻陷單一帳號,就能藉由套件分發機制,悄悄觸及成千上萬個下游應用。
僅就這次被入侵的主套件而言,其本身就被 87 個其他 npm 套件列為直接相依性,分析人士指出,這讓潛在波及範圍遠超過表面的 310 次下載。
這起事件也為開源加密開發工具的艱困一年再添一筆。今年 3 月,Axios 在 npm 上的部分版本同樣遭竄改;5 月,TrapDoor 惡意軟體行動則鎖定多個加密與 DeFi 開發者。根據 CertiK 統計,在 2026 年上半年,錢包相關攻擊已成為成本最高的攻擊向量,共造成 4.44 億美元損失,涉及 33 起事件。





