駭客入侵 Injective 開發套件 暗植後門竊取錢包助記詞與私鑰

駭客入侵 Injective 開發套件 暗植後門竊取錢包助記詞與私鑰

駭客將竊取錢包金鑰的惡意程式,悄悄塞入官方 Injective (INJ) 開發套件中。這套 TypeScript SDK 在 npm 每週平均下載量約 5 萬次,遭「下毒」的版本在短短上線時間內被下載了 310 次,隨即才被緊急清除。

重點整理:

  • Injective 主要 TypeScript SDK 的惡意版本,會在正常使用時複製錢包助記詞與私鑰。
  • 惡意版本快速擴散至 18 個相關套件,合計被下載 310 次,整體上線時間不到一小時。
  • 資安研究人員強調,只要金鑰曾經經過受影響版本處理,就應視同已遭外洩。

Injective SDK 後門事件細節

資安公司 Socket 於週四揭露,npm 上 @injectivelabs/sdk-ts 套件的 1.20.21 版遭到竄改,攻擊者是透過遭入侵的 GitHub 貢獻者帳號下手。該 SDK 是 Injective 生態的核心組件,被廣泛用於錢包、交易所及交易機器人之中。Injective 為專為去中心化金融設計的第一層區塊鏈。

惡意程式碼表面上偽裝成「使用分析」模組,實際上掛鉤在將助記詞或原始私鑰轉換為簽章金鑰的關鍵函式上。每當應用程式呼叫這些函式,程式便悄悄記錄機密資訊,以約兩秒為一批打包,並傳送至一個偽裝成 Injective 官方基礎設施的伺服器。被盜取的助記詞與私鑰藏在 HTTP 請求標頭中,使其流量外觀與一般請求無異,更難被察覺。

透過自動發布流程,同一惡意版本在首筆惡意 commit 推送後數分鐘內,就同步擴散到 17 個相關套件,讓許多未直接安裝該 SDK 的團隊也遭到波及。

依照 commit 細節分析,研究顯示,惡意載荷於 7 月 8 日上線,存活時間不到一小時便被撤下,之後不久便釋出乾淨的 1.20.23 版。

Injective 執行長 Eric Chen 對外聲稱問題已經修復,鏈上資金並未面臨風險。不過,遭入侵的版本在 npm 僅被標記為「已棄用」(deprecated),而非完全移除,理論上仍可被下載。在事件曝光當下,GitHub 上也仍存有遭竄改版本的編譯產物。

延伸閱讀: Solana 的 ETF 時刻?Bitwise 新申請案讓市場更難忽視

為何鎖定加密錢包金鑰?

研究人員形容這次事件「對處理 Injective 錢包流程的開發者與應用程式影響重大」,雖然尚未披露是否已有實際資產遭竊。各團隊被敦促,凡是曾透過受影響版本處理過的私鑰或助記詞,一律視為已遭外洩,應立即將資金轉移至新錢包,並全面輪替系統中的所有金鑰與敏感憑證。

這類攻擊並非直接破解區塊鏈本身的加密機制,而是從「供應鏈」下手:攻擊者汙染開發者仰賴的可信工具,只要奪下其中一個帳號控制權,就能把惡意程式悄悄推送到成千上萬個下游應用之中。

單就這次遭入侵的核心套件本身,研究人員指出,其在 npm 上就有 87 個直接相依套件,潛在波及範圍相當廣。

這起事件也為開源加密工具的艱難一年再添一筆。今年 3 月,Axios npm 套件曾出現類似供應鏈攻擊;5 月則爆發 TrapDoor 惡意程式行動,專門鎖定加密與 DeFi 開發者。區塊鏈資安公司 CertiK 在最新報告中指出,錢包被入侵是 2026 年上半年損失最慘重的攻擊手法,短短半年就有 33 起事件、累計損失金額達 4.44 億美元。

下一步看這篇: Grok 4.5 以更便宜的 Agentic AI 正面迎戰 OpenAI 與 Anthropic

免責聲明與風險警告: 本文提供的資訊僅供教育與參考用途,並基於作者觀點,不構成財務、投資、法律或稅務建議。 加密貨幣資產具有高度波動性並伴隨高風險,包括可能損失全部或大部分投資金額。買賣或持有加密資產可能並不適合所有投資者。 本文中所表達的觀點僅代表作者立場,不代表 Yellow、其創辦人或管理層的官方政策或意見。 請務必自行進行充分研究(D.Y.O.R.),並在做出任何投資決策前諮詢持牌金融專業人士。