软件供应链攻击已变得愈发普遍,攻击者越来越多地将目标对准受信任的开发工具,而非最终用户。
在最近的事件中,攻击者篡改了一个受信任的Injective Labs软件包,以窃取开发者的钱包凭证。


Injective SDK攻击是如何展开的?
攻击者向npm上传了TypeScript SDK的恶意版本@injectivelabs/sdk-ts v1.20.21。该软件包用于构建Injective应用程序、创建钱包和签署交易。
随后,攻击者获得了一位合法Injective Labs贡献者的GitHub账户访问权限,并分发了恶意提交。其中一个测试分支被命名为“test-backdoor-check”。
在遥测数据的伪装下,攻击者将受感染的软件包发布到了npm。
该恶意软件并非收集使用数据,而是窃取私钥和助记词种子短语。这使攻击者获得了重建并控制受害者加密钱包所需的一切信息。
此外,由于17个额外的Injective软件包依赖该SDK,攻击通过传递性依赖关系进一步扩散。
导致此次入侵的漏洞
恶意代码在安装期间保持非活动状态,从而有助于逃避检测。
相反,它仅在开发者使用fromMnemonic或fromHex钱包生成函数时才会执行。
该受感染的软件包每周大约有5万次下载。至少有87个其他软件包也直接依赖于它。
攻击者还发布了另外17个指向该受感染SDK版本的Injective软件包,扩大了攻击范围。


还有呢?
不久之后,一个干净的版本v1.20.23被发布。然而,受感染的版本仍作为已弃用的软件包在npm上可用,其发布制品也仍在GitHub上可访问。
因此,为避免进一步发生此类事件,用户应轮换所有受影响的凭证、创建新钱包并转移资金。
与此同时,BonkDAO因“恶意治理提案”损失了2000万美元,成为最近一起加密黑客攻击的受害者。
最终总结
- 不法分子获得了一位合法Injective Labs贡献者的GitHub账户访问权限,并用它来分发恶意提交。
- 由于17个额外的Injective软件包中的传递性依赖,开发者在此次攻击中变得脆弱。





