登錄
註冊
據 Woofun AI 消息,安全公司 StepSecurity 披露 Injective 相關 npm 包遭受供應鏈攻擊。攻擊者利用可信開發者賬戶權限,在包括 sdk-ts v1.20.21 在內的 18 個 Injective 作用域包中植入後門。該後門僞裝成"密鑰派生遙測"功能,實際會在創建或加載錢包時竊取助記詞和私鑰,併發送至攻擊者控制的僞造 Injective gRPC 域名。惡意版本上線約 49 分鐘後被回滾至乾淨的 v1.20.23。受影響用戶若在該窗口期安裝相關包,應立即視爲錢包密鑰已泄露,並採取安全措施。