Injective npm 包遭供应链攻击!18 个包植入后门,钱包密钥安全遭严重威胁
安全公司 StepSecurity 披露,Injective 相关 npm 包遭受供应链攻击,攻击者利用可信开发者账户权限,在 18 个 Injective 作用域包(包括 sdk-ts v1.20.21)中植入后门。后门伪装成「密钥派生遥测」功能,实际会在创建或加载钱包时窃取助记词和私钥,并发送至攻击者控制的伪造 Injective gRPC 域名。恶意版本上线约 49 分钟后被回滚至干净的 v1.20.23。受影响用户若在该窗口期安装相关包,应立即视为钱包密钥已泄露,并采取安全措施。此事件提醒开发者加强对依赖包的审查和权限管理,防止类似攻击对用户资产造成损失。