>
正文
Injective 18個npm包遭供應鏈攻擊植入後門
2026-07-10 11:59

據 Woofun AI 消息,安全公司 StepSecurity 披露 Injective 相關 npm 包遭受供應鏈攻擊。攻擊者利用可信開發者賬戶權限,在包括 sdk-ts v1.20.21 在內的 18 個 Injective 作用域包中植入後門。該後門僞裝成"密鑰派生遙測"功能,實際會在創建或加載錢包時竊取助記詞和私鑰,併發送至攻擊者控制的僞造 Injective gRPC 域名。惡意版本上線約 49 分鐘後被回滾至乾淨的 v1.20.23。受影響用戶若在該窗口期安裝相關包,應立即視爲錢包密鑰已泄露,並採取安全措施。

免責聲明:本內容為作者獨立觀點,不代表平臺立場。未經允許不得轉載,文中內容僅供參考,不作為實際操作建議,交易風險自擔。
標簽:
Injective
StepSecurity
sdk-ts
Foresight News
分享:
back