攻擊者入侵了Injective Labs SDK的GitHub儲存庫,並發布惡意的npm套件版本1.20.21,從開發者手中竊取了加密貨幣錢包的私鑰與助記詞種子短語。
攻擊者入侵了Injective Labs SDK的GitHub儲存庫,並發布惡意的npm套件版本1.20.21,從開發者手中竊取了加密貨幣錢包的私鑰與助記詞種子短語。

安全機構Socket、Ox Security與StepSecurity報告指出,攻擊者於7月8日入侵了Injective Labs SDK的GitHub儲存庫,並在npm上發布了惡意版本的@injectivelabs/sdk-ts套件,該套件會竊取加密貨幣錢包的私鑰與助記詞種子短語。
Socket研究團隊在一份報告中表示:「攻擊者利用一個被入侵的維護者帳號,繞過拉取請求審查,將偽裝成分析遙測資料的程式碼直接推送至主分支。」「該惡意載荷僅在開發者呼叫錢包建構函式時才會觸發,使其在標準的npm安裝掃描中難以被察覺。」
該惡意版本為TypeScript SDK的1.20.21版——在被棄用前總計被下載310次——鎖定了PrivateKey.fromMnemonic()與PrivateKey.fromHex()這兩個方法,這是在Injective區塊鏈上將種子短語或十六進位金鑰轉換為簽章金鑰的兩個主要入口點。該惡意軟體會將竊取的機密資料佇列兩秒鐘,進行base64編碼,然後透過HTTP POST請求標頭將其外洩至一個模仿合法Injective gRPC-Web基礎設施的網域:testnet.archival.chain.grpc-web.injective.network。
攻擊者在另外17個@injectivelabs範疇的套件中發布了相同的受入侵版本,這些套件固定依賴於該被植入後門的SDK,從而擴大了攻擊範圍。Ox Security表示,直接依賴@injectivelabs/sdk-ts的87個套件,累計下載量超過11.2萬次。合法的維護者在大約22至52分鐘內發現了此次入侵,還原了變更,並發布了版本1.20.23的乾淨版本。
此事件是針對JavaScript生態系統的最新供應鏈攻擊,此前今年早些時候曾有Shai-Hulud攻擊活動入侵了600個npm套件,以及影響36個套件的IronWorm惡意軟體。在暴露期間安裝受影響套件的開發者,應將所有錢包機密視為已遭洩露,轉移資金至新錢包,並輪換所有環境憑證。截至本文發布時,GitHub上該惡意版本的發布檔案仍可取得。
本文僅供資訊參考,不構成投資建議。