【安全圈】npm上的InjectiveSDK被植入加密货币钱包窃取器

admin 2026-07-12 04:42:28 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 攻击者攻陷了InjectiveLabsSDK的GitHub仓库,向npm发布了恶意包@injectivelabs/sdk-ts的1.20.21版本,用于窃取加密货币钱包私钥和助记词。该包被下载310次,影响87个直接依赖包。恶意软件在开发者使用钱包密钥函数时触发,通过HTTP请求外传数据。建议开发者立即转移资产并轮换机密信息。 综合评分: 87 文章分类: 供应链安全,恶意软件,漏洞预警,安全运营


cover_image

【安全圈】npm 上的 Injective SDK 被植入加密货币钱包窃取器

安全圈

2026年7月11日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

加密货币

黑客攻陷了 Injective Labs SDK 项目的 GitHub 仓库,并利用它向 Node Package Manager(npm)发布了一个恶意包,用于窃取加密货币钱包的私钥和助记词种子短语。

应用安全公司 Socket、Ox Security 和 StepSecurity 通过 npm 包 @injectivelabs/sdk-ts 的 1.20.21 版本检测到了此次供应链攻击。

Injective SDK 是一个 TypeScript/JavaScript 软件开发工具包(SDK),用于在 Injective 区块链上构建应用程序。Injective 是一条专注于去中心化金融(DeFi)、代币化资产和去中心化交易所的 Layer-1 区块链。

该包在 npm 上每周下载量达 5 万次,被开发加密货币钱包、交易机器人、去中心化交易所、DeFi 应用和支付工具的开发人员广泛使用。

据研究人员称,攻击者攻陷了一个属于合法项目贡献者的 GitHub 账户,并于 6 月 8 日进行了首次可疑提交,随后不久发布了该包的恶意版本。

攻击者还针对与该项目相关的其他 17 个包发布了 1.20.21 版本,并将所有这些包锁定在受感染的 SDK 版本上。

合法账户所有者在几分钟内发现了此次入侵,撤销了更改,并发布了干净的版本 1.20.23。

然而,通过更新获取恶意包或使用了这些包的开发者系统很可能已遭到入侵。

Socket 表示,该恶意版本的包在被弃用(而非删除)之前已被下载 310 次,且 GitHub 上的恶意发布工件仍然可用。

研究人员还指出,该包在 npm 上有 87 个直接依赖项,并且很可能还有多个额外的传递依赖项。

Ox Security 的一份报告警告称,这 87 个依赖包的累计下载量略超过 11.2 万次。

针对加密货币钱包

该恶意软件并非在安装时激活,而是在开发者使用 SDK 中生成或导入钱包密钥的函数时触发。

一旦这些函数被调用,恶意软件就会捕获完整的助记词种子短语和私钥,并将数据编码为 base64。所有信息通过 HTTP POST 请求发送到 Injective Labs 的公共基础设施端点,以使流量看起来合法。

StepSecurity 报告称,该恶意软件并未立即传输窃取的机密信息,而是将多个密钥和助记词排队两秒钟,将其打包在 HTTP 请求头中,然后发送出去。

攻击者随后可能利用这些助记词或私钥将受害者的钱包转移到自己的设备上,并访问、使用或转移其数字资产。

怀疑遭到入侵的开发者应立即将加密货币转移到新钱包,并轮换其环境中的所有机密信息。

END

阅读推荐

【安全圈】Windows Defender又爆提权漏洞,赶紧打补丁

【安全圈】假7-Zip安装包暗藏后门,你的电脑正被”出租”

【安全圈】Wireshark更新!一个数据包就能让它崩溃!

【安全圈】Google Dialogflow CX 漏洞可让攻击者劫持 AI 对话

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈 《【安全圈】npm 上的 Injective SDK 被植入加密货币钱包窃取器》

评论:0   参与:  0