安全公司 StepSecurity 披露,Injective 相关的 npm 软件包遭到了供应链攻击。攻击者利用可信开发者账户的权限,在 18 个 Injective 作用域包(包括 sdk-ts v1.20.21)中植入了后门。该后门伪装为“密钥派生遥测”功能,实际上会在用户创建或加载钱包时窃取助记词和私钥,并发送至攻击者控制的伪造 Injective gRPC 域名。幸运的是,这一恶意版本在上线约 49 分钟后便被回滚至干净的 v1.20.23 版本。对于在该时间窗口内安装了相关受影响软件包的用户,应立即视为钱包密钥已泄露,并尽快采取必要的安全措施。