1. 首页 > DeFi

Injective SDK遭供应链攻击,18个包现恶意代码

Ai总结: Injective官方SDK在npm包中被植入恶意代码,攻击者通过伪装成正常功能窃取助记词与私钥。尽管已紧急修复,但开发者仍需警惕潜在泄露风险。

Injective生态遭遇供应链入侵,恶意代码潜伏于核心开发工具

一场针对Injective区块链开发者生态的供应链攻击浮出水面,黑客在广泛使用的npm包injectivelabs/sdk-ts中嵌入了窃取钱包凭证的恶意脚本。该漏洞存在于版本1.20.21,被安全机构Socket发现,此包是构建Injective应用的官方TypeScript开发工具包。

恶意代码借由合法提交渗透,隐蔽传播至多个关联组件

攻击者利用一位曾有贡献记录的开发者账户提交了包含后门的代码,该行为始于6月8日。恶意代码被锁定在Injective Labs管理的其他17个npm包中,形成连锁影响。其核心机制在于劫持用于生成钱包密钥的标准函数,一旦应用调用即触发数据外泄。敏感信息经Base64编码后,通过伪装为官方基础设施请求的方式悄然发送至外部服务器,有效规避了常规流量监控。

波及范围广,安全建议涵盖间接依赖与密钥重置

受影响的18个包合计下载量约310次,虽非全部触发泄露,但只要应用涉及私钥处理,便存在暴露风险。目前所有版本均已弃用,并以1.20.23发布清洁版,修复响应时间控制在49分钟内。尽管网络资金未受威胁,且暂无资产被盗报告,但安全团队仍强烈建议所有使用过相关包的开发者将所有密钥与助记词视为已泄露,立即执行转移、更换和依赖审计操作。仅审查直接依赖不足以确保安全,必须全面排查传递性依赖。

此次事件凸显了对开发者工具链的安全防护短板——攻击目标并非链上协议本身,而是构建应用的底层软件。据CertiK统计,2026年上半年,因钱包入侵导致的经济损失已超4.44亿美元,仅33起事件即成为最致命攻击类型。

免责声明:本文所有内容均来源于第三方平台,所有内容不作任何类型的保证,不构成任何投资、不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。