Socket 研究人员表示,这一事件对于处理 Injective 钱包工作流程的开发人员和应用程序来说意义重大。

黑客利用旨在窃取加密钱包私钥的恶意软件,在供应链攻击中破坏了广泛使用的 Injective 软件包,从而增加了攻击者使用合法平台传递恶意负载的不断增长的攻击向量。

安全公司 Socket 周四发现,用于构建 Injective 区块链的流行 npm(节点包管理器)软件包每周下载量约为 50,000 次,该软件包被恶意修改以窃取钱包私钥和助记词。

Socket 研究人员表示,大量下载使得该事件“对于处理 Injective 钱包工作流程的开发人员和应用程序来说意义重大”。该恶意代码已被删除。

软件供应链攻击是一种相对较新的攻击媒介,黑客不会直接针对区块链的密码学或智能合约,而是破坏用于构建钱包、交易所和应用程序的可信开发人员工具。

Injective 是专为 DeFi 应用程序设计的可互操作的第 1 层。据 DefiLlama 称,过去两年,其使用量有所减少,锁定的总价值从 2024 年中期的 7100 万美元峰值缩减了 88%,降至目前的 820 万美元。

秘密复制私钥和短语

@injectivelabs/sdk-ts npm 包的 1.20.21 版本是通过受感染的开发者 GitHub 帐户进行修改的,从 6 月 8 日开始就有可疑的提交。它还被固定在 Injective Labs npm 范围内的其他 17 个包中,“暴露了可能没有直接安装 SDK [软件开发工具包]的用户,”Socket 说。

Socket 解释说:“恶意版本会挂钩钱包密钥派生功能,记录私钥和助记词,并通过虚假遥测技术将其泄露。”

恶意代码挂接到用于生成钱包密钥的正常函数中,每当开发人员的应用程序使用这些函数时,它就会秘密复制助记词或私钥。然后,受损的数据被编码并发送到一个看起来像合法的内射网络服务器的网址。

Socket 补充道:“通过受影响的包传递的任何密钥或助记符都应被视为已泄露。”

账户被渗透的开发者很快就发现了这一漏洞,但该恶意软件已被下载超过 300 次,而且“该活动本身尚未完全得到遏制”。

Injective 首席执行官 Eric Chen 表示:“该问题已经修复,npm 上受影响的版本也已被弃用。”他补充说,网络上的资金没有面临风险,Socket 也没有具体说明事件中是否有任何资金被盗。

受感染的 npm 包被下载了 310 次。来源:套接字

今年钱包妥协代价最高

安全联盟 (SEAL) 在其第二季度威胁报告中表示,攻击者越来越多地使用 GitHub、npm 和 Google 等合法平台来传递有效负载。

SEAL 补充说,恶意软件本身也变得更加全面,“具有跨平台有效负载,包括 macOS 特定活动的增加,将信息窃取者、RAT(远程访问木马)和后门功能结合在一个包中。”

3 月份发布的 Axios npm 版本中遭遇了类似的供应链攻击,而 5 月份发现了一个名为 TrapDoor 的恶意软件活动,目标是加密货币、DeFi、人工智能和安全开发人员。

5 月 20 日,GitHub 报告称,一名员工的设备遭到入侵后,其内部存储库遭到未经授权的访问,GitHub 本身也遭到了利用。

CertiK 周一报道称,钱包泄露是 2026 年上半年损失最惨重的攻击媒介,共 33 起事件导致 4.44 亿美元被盗。

特点:比特币的量子困境:更大的区块还是 STARK 证明?