>
正文
Injective 18个npm包遭供应链攻击植入后门
2026-07-10 11:59

据 Woofun AI 消息,安全公司 StepSecurity 披露 Injective 相关 npm 包遭受供应链攻击。攻击者利用可信开发者账户权限,在包括 sdk-ts v1.20.21 在内的 18 个 Injective 作用域包中植入后门。该后门伪装成"密钥派生遥测"功能,实际会在创建或加载钱包时窃取助记词和私钥,并发送至攻击者控制的伪造 Injective gRPC 域名。恶意版本上线约 49 分钟后被回滚至干净的 v1.20.23。受影响用户若在该窗口期安装相关包,应立即视为钱包密钥已泄露,并采取安全措施。

免责声明:本内容为作者独立观点,不代表平台立场。未经允许不得转载,文中内容仅供参考,不作为实际操作建议,交易风险自担。
标签:
Injective
StepSecurity
sdk-ts
Foresight News
分享:
back