黑客将窃取钱包的恶意代码悄然嵌入官方 Injective (INJ) 开发套件中。该 SDK 在 npm 上每周下载量约 5 万次,受污染版本在被紧急处置前已被下载 310 次。
要点速览:
- 被投毒的是 Injective 主力 TypeScript SDK,在正常调用过程中会复制钱包助记词和私钥。
- 恶意版本扩散到 18 个关联包,被下载 310 次,在线时间不足一小时。
- 安全研究员建议,凡经过受影响版本处理过的密钥一律视为已泄露。
Injective SDK 供应链后门细节
安全公司 Socket 周四披露,npm 上 @injectivelabs/sdk-ts 包的 1.20.21 版本遭篡改,攻击入口来自 GitHub 上一名贡献者账号被攻陷。该 SDK 是 Injective 生态的钱包、交易所以及量化交易机器人等应用的基础组件,而 Injective 本身是一条专注 DeFi 的一层公链。
恶意代码伪装成“使用统计”模块,实际则挂钩了将助记词或原始私钥转换为签名密钥的核心函数。每当应用调用这些函数时,代码都会悄悄记录相关机密,将数据在本地聚合两秒后,再发送至伪装成 Injective 官方基础设施的远程服务器。被盗数据被包裹在请求头中,使其看起来与正常流量无异。
借助自动发布流程,同一恶意版本在数分钟内被同步到另外 17 个相关 npm 包,大幅放大了影响范围——许多团队即便从未直接安装该主包,也可能在不知情的情况下被波及。
按提交级别溯源分析,显示 恶意载荷于 7 月 8 日上线,存活时间不足一小时便被撤下,随后发布了干净的 1.20.23 版本。
Injective 首席执行官 Eric Chen 对外表示,漏洞已经修复,链上资金安全未受影响。不过,受污染版本在 npm 上是被“弃用(deprecated)”而非完全下架,理论上仍可被下载。同时,被投毒构建版本的产物在披露时依然可以在 GitHub 上找到。
延伸阅读: Solana 的 ETF 时刻:Bitwise 新申请案让市场更难忽视
为何瞄准的是加密钱包密钥?
研究人员指出,此次事件“对处理 Injective 钱包流程的开发者和应用而言影响重大”,但尚未披露是否已经确认有资产被盗。安全团队被敦促将所有曾经经由受影响版本处理过的私钥和助记词一律视为泄露:尽快将资金迁移到新钱包,并在相关业务环境中轮换全部密钥与机密参数。
这类攻击并不直接破坏区块链本身的密码学安全,而是从开发者信任的工具链下手:一旦某个维护者账号被攻陷,恶意代码便可通过自动化发布系统无声下沉至数千个下游应用。
分析人士披露,仅此次被攻陷的主 SDK 包本身,就被 87 个其他 npm 包直接依赖。
此事件也为近期开源加密开发工具屡遭重创再添一笔。今年 3 月,Axios 的 npm 包出现类似供应链投毒;5 月,TrapDoor 恶意软件行动则集中攻击加密与 DeFi 开发者。审计机构 CertiK 在其报告中,将“钱包被攻破”列为 2026 年上半年损失最惨重的攻击路径:仅上半年相关事件就有 33 起,合计损失约 4.44 亿美元。





