駭客在Injective npm包中植入後門竊取錢包密鑰
By: rootdata|2026/07/10 03:20:00
0
分享
安全公司Socket發現Injective區塊鏈的npm軟體包@injectivelabs/sdk-ts被惡意修改,攻擊者透過入侵開發者GitHub帳戶植入竊取錢包私鑰和助記詞的惡意程式碼。竊取的數據被編碼後發送至偽裝成合法Injective網路伺服器的地址。該軟體包周下載量約50000次,惡意版本1.20.21於6月8日開始存在可疑提交,並被鎖定在Injective Labs npm範圍內的其他17個包中,意味著未直接安裝該SDK的用戶也可能受到影響。Injective CEO Eric Chen表示問題已修復,受影響版本已被棄用,網路上的資金不存在風險,但該惡意包已被下載超過310次,安全公司Socket稱該攻擊尚未被完全遏制。

