ハッカーがInjective npmパッケージにバックドアを埋め込み、ウォレットキーを盗む
By: rootdata|2026/07/10 03:20:00
0
シェア
セキュリティ会社Socketは、Injectiveブロックチェーンのnpmソフトウェアパッケージ@injectivelabs/sdk-tsが悪意を持って改ざんされたことを発見しました。攻撃者は開発者のGitHubアカウントを侵害し、ウォレットの秘密鍵とリカバリーフレーズを盗むための悪意のあるコードを埋め込みました。盗まれたデータは、合法的なInjectiveネットワークサーバーを装ったアドレスにエンコードされて送信されました。このソフトウェアパッケージは、週に約50,000回ダウンロードされており、悪意のあるバージョン1.20.21は6月8日に疑わしいコミットが存在し、Injective Labs npmの範囲内の他の17のパッケージにロックされていました。これは、SDKを直接インストールしていないユーザーも影響を受ける可能性があることを意味します。InjectiveのCEOであるEric Chenは、問題は修正され、影響を受けたバージョンは廃止されたと述べ、ネットワーク上の資金にはリスクがないとしていますが、この悪意のあるパッケージは310回以上ダウンロードされており、セキュリティ会社Socketはこの攻撃が完全には抑制されていないと報告しています。

