当前位置:首页  头条

npm|在针对加密钱包密钥的单射|包中发现恶意后门

点击:31编辑:金色财经发布时间:2026-07-10

黑客通过破坏广泛使用的 Injective Labs npm 软件包、嵌入旨在窃取加密货币钱包私钥和种子短语的恶意软件来执行软件供应链攻击。安全公司 Socket 周四披露,@injectivelabs/sdk-ts 软件包的 1.20.21 版本(每周下载量约为 50,000 次)通过被泄露的开发者 GitHub 帐户进行了更改,从 6 月 8 日开始出现可疑提交。

恶意代码拦截了在 Injective 区块链上构建的开发人员常用的钱包密钥派生函数,秘密记录私钥和助记词,然后通过伪装的遥测将其泄露到模仿官方 Injective 端点的服务器。 Socket 警告说,通过受影响的包处理的任何密钥或助记词都应被视为已泄露。

尽管受损版本在删除前已被下载超过 310 次,但 Injective 首席执行官 Eric Chen 确认问题已得到解决,受污染的 npm 版本已被弃用。他强调,没有网络资金面临风险,但 Socket 并未确认是否发生任何盗窃事件。

该后门软件包还被固定在 Injective Labs npm 范围内的其他 17 个软件包中,可能会暴露从未直接安装过 SDK 的用户。 Socket 指出,尽管开发人员做出了迅速反应,但该活动可能尚未完全得到遏制。

此事件反映了攻击者利用 GitHub 和 npm 等合法平台传播恶意软件的趋势不断增长。据安全联盟 (SEAL) 称,2026 年第二季度,越来越多地使用受感染的开发者帐户将恶意代码推送到官方存储库中。最近的类似攻击包括 3 月份的 Axios npm 漏洞和 5 月份针对加密货币、DeFi、人工智能和安全开发人员的 TrapDoor 活动。

CertiK 周一报告称,钱包泄露是 2026 年上半年代价最高的攻击媒介,共 33 起事件导致 4.44 亿美元被盗。

Malicious Backdoor Found in Injective npm Package Targeting Crypto Wallet Keys

受感染的 npm 软件包被下载了 310 次。来源:套接字

相关资讯
更多
币安(Binance)官网全面介绍:全球领先的数字资产交易平台
币安(Binance)成立于2017年,是全球交易量最大的数字资产交易平台之一,服务覆盖180多个国家和地区,拥有超2亿注册...

发布时间

2026-06-27

比特币哪里最火
1.如果要找中国比特币官方网站,可以选择欧意易易OKEx(www.欧意易.art/join/2326122)。比特币价格上涨态势越来...

发布时间

2026-02-08

以太坊期权合约是什么?以太坊期权合约到期的影响
今天小编主要想为大家介绍关于以太坊期权合约是什么?以太坊期权合约到期的影响的相关资料,需要的朋友可以跟...

发布时间

2026-02-08

比特币是否纳税(开比特币矿场需要什么手续需要缴税吗)
1.比特币是可以提现的,当天买入的比特币当天就可以卖出提现。比特币交易规则是t+0,即当天可不限次买入卖出。...

发布时间

2026-02-08

DOGE交易所下载_DOGE交易所安卓版下载
DOGE交易所是一款很好的帮助用户理财的软件。这款软件中的理财功能非常的丰富,用户可以在线选择各个理财功能...

发布时间

2026-02-04

货币交易平台_十大数字货币交易平台app下载
货币交易平台?分别是:欧意易易app、Ulian、比特可乐、TiDEX、BitBay、Heat Wallet、Cream、BaseFEX、IXX、UBA...

发布时间

2026-02-08