当前位置:首页  新闻

在针对加密钱包密钥的单射 包中发现恶意后门,npm

点击:6编辑:爱币网发布时间:2026-07-10

黑客通过破坏广泛使用的 Injective Labs npm 软件包、嵌入旨在窃取加密货币钱包私钥和种子短语的恶意软件来执行软件供应链攻击。安全公司 Socket 周四披露,@injectivelabs/sdk-ts 软件包的 1.20.21 版本(每周下载量约为 50,000 次)通过被泄露的开发者 GitHub 帐户进行了更改,从 6 月 8 日开始出现可疑提交。

恶意代码拦截了在 Injective 区块链上构建的开发人员常用的钱包密钥派生函数,秘密记录私钥和助记词,然后通过伪装的遥测将其泄露到模仿官方 Injective 端点的服务器。 Socket 警告说,通过受影响的包处理的任何密钥或助记词都应被视为已泄露。

尽管受损版本在删除前已被下载超过 310 次,但 Injective 首席执行官 Eric Chen 确认问题已得到解决,受污染的 npm 版本已被弃用。他强调,没有网络资金面临风险,但 Socket 并未确认是否发生任何盗窃事件。

该后门软件包还被固定在 Injective Labs npm 范围内的其他 17 个软件包中,可能会暴露从未直接安装过 SDK 的用户。 Socket 指出,尽管开发人员做出了迅速反应,但该活动可能尚未完全得到遏制。

此事件反映了攻击者利用 GitHub 和 npm 等合法平台传播恶意软件的趋势不断增长。据安全联盟 (SEAL) 称,2026 年第二季度,越来越多地使用受感染的开发者帐户将恶意代码推送到官方存储库中。最近的类似攻击包括 3 月份的 Axios npm 漏洞和 5 月份针对加密货币、DeFi、人工智能和安全开发人员的 TrapDoor 活动。

CertiK 周一报告称,钱包泄露是 2026 年上半年代价最高的攻击媒介,共 33 起事件导致 4.44 亿美元被盗。

Malicious Backdoor Found in Injective npm Package Targeting Crypto Wallet Keys

受感染的 npm 软件包被下载了 310 次。来源:套接字

相关资讯
更多
币安(Binance)官网全面介绍:全球领先的数字资产交易平台
币安(Binance)成立于2017年,是全球交易量最大的数字资产交易平台之一,服务覆盖180多个国家和地区,拥有超2亿注册...

发布时间

2026-06-27

欧意易交易平台app安卓版 欧意易app交易所v6.9.1官方正版
欧意易交易平台app是全球顶尖的数字金融交易平台,该交易所面向全球的用户提供多种数字资产的币币和衍生品交...

发布时间

2026-02-08

欧易交易所Web3官网入口 欧易OKX官方APP最新版本下载
欧易(okx)作为全球领先的数字资产交易与web3技术服务平台,凭借其创新的产品架构和极高的安全性,为用户提供了全...

发布时间

2026-04-26

最新okx.com手机APP_欧易手机账号注册官网地址
在开发过程中,目前已与多家安全团队建立了合作关系,对最新okx.com手机APP进行了一系列的安全测试,该软件还支持...

发布时间

2026-02-04

OKEx内测下载 交易所下载内测版安装不了
欧意易易app安卓版可以为大家提供更方便的投资理财体验用户们可以通过这款区块链软件来获得更多实时的全球...

发布时间

2026-02-08

usdt 交易所_香港交易所合法虚拟币app
随着数字资产数量、市值、交易量的不断攀升,承载着资产流动性功能的交易平台越来越重。现阶段,中心化交易所依...

发布时间

2026-02-08