Injective软件包遭恶意供应链攻击——详情

ambcrypto发布于2026-07-10更新于2026-07-10

文章摘要

近日,Injective Labs的TypeScript软件开发工具包(@injectivelabs/sdk-ts)遭遇供应链攻击。攻击者首先窃取了一名合法贡献者的GitHub账户权限,向npm仓库上传了恶意版本v1.20.21。该恶意代码伪装成遥测功能,但在开发者使用特定钱包生成函数(如fromMnemonic或fromHex)时,会窃取私钥和助记词,从而完全控制受害者的加密钱包。 此次攻击影响广泛:恶意包每周下载量约5万次,并通过传递依赖波及另外17个相关的Injective软件包,直接依赖包至少87个。尽管后续发布了清洁版本v1.20.23,但受感染的旧版本仍可作为废弃包获取,构成持续风险。 安全建议:可能受影响的用户应立即更新凭证、创建新钱包并转移资产。此事件与BonkDAO因恶意治理提案损失2000万美元的案例相继发生,凸显了加密领域面临的安全挑战。

软件供应链攻击已变得愈发普遍,攻击者越来越多地将目标对准受信任的开发工具,而非最终用户。

在最近的事件中,攻击者篡改了一个受信任的Injective Labs软件包,以窃取开发者的钱包凭证。

来源:Socket

Injective SDK攻击是如何展开的?

攻击者向npm上传了TypeScript SDK的恶意版本@injectivelabs/sdk-ts v1.20.21。该软件包用于构建Injective应用程序、创建钱包和签署交易。

随后,攻击者获得了一位合法Injective Labs贡献者的GitHub账户访问权限,并分发了恶意提交。其中一个测试分支被命名为“test-backdoor-check”。

在遥测数据的伪装下,攻击者将受感染的软件包发布到了npm。

该恶意软件并非收集使用数据,而是窃取私钥和助记词种子短语。这使攻击者获得了重建并控制受害者加密钱包所需的一切信息。

此外,由于17个额外的Injective软件包依赖该SDK,攻击通过传递性依赖关系进一步扩散。

导致此次入侵的漏洞

恶意代码在安装期间保持非活动状态,从而有助于逃避检测。

相反,它仅在开发者使用fromMnemonic或fromHex钱包生成函数时才会执行。

该受感染的软件包每周大约有5万次下载。至少有87个其他软件包也直接依赖于它。

攻击者还发布了另外17个指向该受感染SDK版本的Injective软件包,扩大了攻击范围。

来源:Socket

还有呢?

不久之后,一个干净的版本v1.20.23被发布。然而,受感染的版本仍作为已弃用的软件包在npm上可用,其发布制品也仍在GitHub上可访问。

因此,为避免进一步发生此类事件,用户应轮换所有受影响的凭证、创建新钱包并转移资金。

与此同时,BonkDAO因“恶意治理提案”损失了2000万美元,成为最近一起加密黑客攻击的受害者。


最终总结

  • 不法分子获得了一位合法Injective Labs贡献者的GitHub账户访问权限,并用它来分发恶意提交。
  • 由于17个额外的Injective软件包中的传递性依赖,开发者在此次攻击中变得脆弱。

相关问答

Q攻击者是如何发起对Injective SDK的供应链攻击的?

A攻击者首先将恶意版本的TypeScript SDK包(@injectivelabs/sdk-ts v1.20.21)上传到npm。随后,通过获取一名合法Injective Labs贡献者的GitHub账户访问权限,发布了恶意提交。该恶意代码在开发者使用特定的钱包生成函数(如fromMnemonic或fromHex)时才会执行,窃取私钥和助记词种子短语。

Q恶意代码采用了什么策略来规避检测?

A恶意代码在软件包安装过程中保持休眠状态,从而规避安全检测。它只有在开发者实际调用`fromMnemonic`或`fromHex`等钱包生成函数时才会被激活和执行窃取操作。

Q这次攻击的影响范围有多广?

A攻击影响范围较广。每周约有5万次下载该受污染的软件包。此外,至少有87个其他软件包直接依赖它,并且通过17个额外的Injective软件包的传递性依赖,进一步扩大了攻击面。

Q用户应如何应对以降低风险?

A用户应立即轮换所有受影响的凭据,创建新的加密钱包,并将资金转移到新钱包中。同时,应确保不再使用受污染的软件版本(如v1.20.21),并更新到干净的版本(如v1.20.23)。

Q文章中还提到了另一起相关安全事件是什么?

A文章中提到,几乎同时,BonkDAO因一个“恶意的治理提案”损失了2000万美元,使其成为加密黑客攻击的最新受害者。

你可能也喜欢

交易

现货
活动图片