黑客投毒 Injective 每周5万次下载的 SDK,窃取开发者钱包助记词

黑客投毒 Injective 每周5万次下载的 SDK,窃取开发者钱包助记词

黑客将窃取钱包密钥的恶意代码悄然注入官方 Injective (INJ) 开发套件中。该套件在 npm 上每周下载量约 5 万次,而被投毒的版本在被紧急下架前已被下载 310 次。

要点概览:

  • 被篡改的 Injective 主力 TypeScript SDK 在正常调用过程中会复制钱包助记词和私钥。
  • 恶意版本扩散至 18 个关联 npm 包,在不到一小时内被下载 310 次后下架。
  • 安全研究人员建议:凡通过受影响版本处理过的任何密钥,均应视为已被攻破。

Injective SDK 后门事件详情

安全公司 Socket 周四披露,npm 上 @injectivelabs/sdk-ts 包的 1.20.21 版本被人通过一个遭入侵的 GitHub 贡献者账号篡改。该工具包是 Injective 生态中钱包、交易所和量化交易机器人等应用的核心依赖,Injective 是面向去中心化金融的 Layer 1 区块链。

恶意代码伪装成“使用分析”模块,钩住了将助记词或原始私钥转换为签名密钥的关键函数。每当应用调用这些函数时,它就静默记录这些敏感信息,按两秒一批打包,并发送至一个伪装成 Injective 官方基础设施的服务器。被盗数据藏在请求头中,便于混入普通网络流量而不易被发现。

自动发布流程则在首个恶意提交出现后的数分钟内,将同一毒化版本同步至另外 17 个相关 npm 包,放大了风险暴露范围——即便一些团队从未直接安装过该主包,也可能通过依赖链受到影响。

另一家安全机构的提交级分析显示,恶意载荷于 7 月 8 日上线,在不到一小时内被撤回,随后发布了干净的 1.20.23 版本。

据报道,Injective 首席执行官 Eric Chen 表示,问题已被修复,链上资金安全不受影响。不过,受感染版本在 npm 上只是被标记为“弃用”(deprecated),而非完全删除,理论上仍可被下载。在安全事件披露时,与该恶意构建相关的产物在 GitHub 上也依然可见。

延伸阅读:Solana 的 ETF 时刻:Bitwise 新申请令市场难再忽视

为何瞄准的是加密钱包密钥

研究人员称,此次事件“对处理 Injective 钱包流程的开发者和应用影响重大”,但尚未披露是否已经发生实质资产损失。安全团队敦促:只要助记词或私钥曾经在受影响版本环境中生成、导入或使用过,都应视为已泄露,相关资金应立即迁移至全新钱包,并轮换环境中的全部密钥与机密。

此类攻击并不会直接破坏区块链底层的密码学算法,而是从“供应链”下手:攻击者投毒开发者高度信任的工具,将一次账号劫持转化为覆盖数千个下游应用的分发通道。

分析人士指出,仅此次被投毒的 Injective SDK 本身,就有 87 个 npm 包直接依赖它。

这起事件为开源加密开发工具的安全再度敲响警钟。今年以来,类似风险持续上升:3 月,Axios 的 npm 包曾发生供应链投毒;5 月,TrapDoor 恶意软件行动针对加密与 DeFi 开发者发起攻击。区块链安全机构 CertiK 在最新报告中将“钱包被攻破”列为 2026 年上半年损失最惨重的攻击手法,仅该类事件就造成 33 起安全事故、合计约 4.44 亿美元损失。

下一篇:Grok 4.5 以更低成本的 Agentic AI 向 OpenAI 和 Anthropic 发起挑战

免责声明和风险警告: 本文提供的信息仅用于教育和信息目的,基于作者的意见。它不构成财务、投资、法律或税务建议。 加密货币资产具有高度波动性并面临高风险,包括失去全部或大部分投资的风险。交易或持有加密资产可能不适合所有投资者。 本文表达的观点仅为作者的观点,不代表Yellow、其创始人或高管的官方政策或立场。 在做出任何投资决定之前,请务必进行自己的全面研究(D.Y.O.R.)并咨询持牌金融专业人士。
黑客投毒 Injective 每周5万次下载的 SDK,窃取开发者钱包助记词 | Yellow.com