Injective 表示,该安全漏洞已立即得到修补,并声称没有下载恶意软件包。 黑客在供应链攻击中利用恶意软件破坏了广泛使用的 Injective 软件包,试图窃取加密钱包私钥。 安全公司 Socket 周四发现,用于构建 Injective 区块链的流行 NPM(节点包管理器)每周下载量约为 50,000 次,被恶意修改以窃取钱包私钥和助记词。 Socket 报告称,该恶意软件已被下载超过 300 次,并且“尽管帐户被渗透的开发人员很快发现了该漏洞,但该活动本身尚未完全得到遏制。 Injective 周五表示,“问题已立即发现并解决”,并且“恶意软件包的下载量为零”。 来源:内射 软件供应链攻击是一种相对较新的攻击媒介,黑客不会直接针对区块链的密码学或智能合约,而是破坏用于构建钱包、交易所和应用程序的可信开发人员工具。

Injective 是专为 DeFi 应用程序设计的可互操作的第 1 层。据 DefiLlama 称,过去两年,其使用量有所减少,锁定的总价值从 2024 年中期的 7100 万美元峰值缩减了 88%,降至目前的 820 万美元。 秘密复制私钥和短语 @injectivelabs/sdk-ts NPM 软件包的 1.20.21 版本是通过受感染的开发者 GitHub 帐户进行修改的,从 6 月 8 日开始就有可疑的提交。它还被固定在 Injective Labs NPM 范围内的其他 17 个软件包中,“暴露了可能没有直接安装 SDK [软件开发工具包]的用户,”Socket 说。 Socket 解释说:“恶意版本会挂钩钱包密钥派生功能,记录私钥和助记词,并通过虚假遥测技术将其泄露。” 恶意代码挂接到用于生成钱包密钥的正常函数中,每当开发人员的应用程序使用这些函数时,它就会秘密复制助记词或私钥。然后,受损的数据被编码并发送到一个看起来像合法的内射网络服务器的网址。

Socket 补充道:“通过受影响的包传递的任何密钥或助记符都应被视为已泄露。” 相关:“TrapDoor”恶意软件在供应链攻击中针对加密开发工具 然而,Injective 首席执行官 Eric Chen 重申,该问题“已经解决,npm 上受影响的版本已经被弃用”。 他补充说,网络上的资金没有面临风险,Socket 也没有具体说明事件中是否有任何资金被盗。 受感染的 NPM 软件包被下载了 310 次。 Injective 否认了这一说法。来源:套接字 今年钱包妥协代价最高 安全联盟 (SEAL) 在其第二季度威胁报告中表示,攻击者越来越多地使用 GitHub、NPM 和 Google 等合法平台来传递有效负载。 “在某些情况下,受感染的系统被用来将恶意代码直接推送到公司自己的 GitHub 存储库中,将单个妥协转变为下一个妥协的分发渠道。”

SEAL 补充说,恶意软件本身也变得更加全面,“具有跨平台有效负载,包括 macOS 特定活动的增加,将信息窃取者、RAT(远程访问木马)和后门功能结合在一个包中。” 3 月份发布的 Axios npm 版本中遭遇了类似的供应链攻击,而 5 月份发现了一个名为 TrapDoor 的恶意软件活动,目标是加密货币、DeFi、人工智能和安全开发人员。 5 月 20 日,GitHub 报告称,一名员工的设备遭到入侵后,其内部存储库遭到未经授权的访问,GitHub 本身也遭到了利用。 CertiK 周一报道称,钱包泄露是 2026 年上半年损失最惨重的攻击媒介,共 33 起事件导致 4.44 亿美元被盗。