登录
注册
据 Woofun AI 消息,安全公司 StepSecurity 披露 Injective 相关 npm 包遭受供应链攻击。攻击者利用可信开发者账户权限,在包括 sdk-ts v1.20.21 在内的 18 个 Injective 作用域包中植入后门。该后门伪装成"密钥派生遥测"功能,实际会在创建或加载钱包时窃取助记词和私钥,并发送至攻击者控制的伪造 Injective gRPC 域名。恶意版本上线约 49 分钟后被回滚至干净的 v1.20.23。受影响用户若在该窗口期安装相关包,应立即视为钱包密钥已泄露,并采取安全措施。