駭客將竊取錢包金鑰的惡意程式,悄悄塞入官方 Injective (INJ) 開發套件中。這套 TypeScript SDK 在 npm 每週平均下載量約 5 萬次,遭「下毒」的版本在短短上線時間內被下載了 310 次,隨即才被緊急清除。
重點整理:
- Injective 主要 TypeScript SDK 的惡意版本,會在正常使用時複製錢包助記詞與私鑰。
- 惡意版本快速擴散至 18 個相關套件,合計被下載 310 次,整體上線時間不到一小時。
- 資安研究人員強調,只要金鑰曾經經過受影響版本處理,就應視同已遭外洩。
Injective SDK 後門事件細節
資安公司 Socket 於週四揭露,npm 上 @injectivelabs/sdk-ts 套件的 1.20.21 版遭到竄改,攻擊者是透過遭入侵的 GitHub 貢獻者帳號下手。該 SDK 是 Injective 生態的核心組件,被廣泛用於錢包、交易所及交易機器人之中。Injective 為專為去中心化金融設計的第一層區塊鏈。
惡意程式碼表面上偽裝成「使用分析」模組,實際上掛鉤在將助記詞或原始私鑰轉換為簽章金鑰的關鍵函式上。每當應用程式呼叫這些函式,程式便悄悄記錄機密資訊,以約兩秒為一批打包,並傳送至一個偽裝成 Injective 官方基礎設施的伺服器。被盜取的助記詞與私鑰藏在 HTTP 請求標頭中,使其流量外觀與一般請求無異,更難被察覺。
透過自動發布流程,同一惡意版本在首筆惡意 commit 推送後數分鐘內,就同步擴散到 17 個相關套件,讓許多未直接安裝該 SDK 的團隊也遭到波及。
依照 commit 細節分析,研究顯示,惡意載荷於 7 月 8 日上線,存活時間不到一小時便被撤下,之後不久便釋出乾淨的 1.20.23 版。
Injective 執行長 Eric Chen 對外聲稱問題已經修復,鏈上資金並未面臨風險。不過,遭入侵的版本在 npm 僅被標記為「已棄用」(deprecated),而非完全移除,理論上仍可被下載。在事件曝光當下,GitHub 上也仍存有遭竄改版本的編譯產物。
延伸閱讀: Solana 的 ETF 時刻?Bitwise 新申請案讓市場更難忽視
為何鎖定加密錢包金鑰?
研究人員形容這次事件「對處理 Injective 錢包流程的開發者與應用程式影響重大」,雖然尚未披露是否已有實際資產遭竊。各團隊被敦促,凡是曾透過受影響版本處理過的私鑰或助記詞,一律視為已遭外洩,應立即將資金轉移至新錢包,並全面輪替系統中的所有金鑰與敏感憑證。
這類攻擊並非直接破解區塊鏈本身的加密機制,而是從「供應鏈」下手:攻擊者汙染開發者仰賴的可信工具,只要奪下其中一個帳號控制權,就能把惡意程式悄悄推送到成千上萬個下游應用之中。
單就這次遭入侵的核心套件本身,研究人員指出,其在 npm 上就有 87 個直接相依套件,潛在波及範圍相當廣。
這起事件也為開源加密工具的艱難一年再添一筆。今年 3 月,Axios npm 套件曾出現類似供應鏈攻擊;5 月則爆發 TrapDoor 惡意程式行動,專門鎖定加密與 DeFi 開發者。區塊鏈資安公司 CertiK 在最新報告中指出,錢包被入侵是 2026 年上半年損失最慘重的攻擊手法,短短半年就有 33 起事件、累計損失金額達 4.44 億美元。





