尚待证实:传闻 Injective SDK npm 包感染恶意软件窃取加密钱包
有未经证实的消息称,Injective 在 npm 上的软件开发工具包 (SDK) 可能被黑客植入恶意软件,以窃取数字钱包数据。
📅 2026年7月10日 03:17
网络安全界流传着未经证实的消息,称 Injective Labs(一个面向金融领域的区块链协议)的软件开发工具包 (SDK) 被黑客控制,并在 npm(Node Package Manager,一个面向开发者的公共代码库)上发布了恶意版本,旨在窃取加密货币钱包的私钥 (Private Key) 和助记词 (Mnemonic Seed Phrase)。 然而,“ทันเอไอ”新闻团队调查发现,尚未在 BleepingComputer(被指为原始消息来源)或其他可靠新闻来源发现相关报道,因此,该消息目前仍是未经证实的“传闻”。 尽管 Injective SDK 事件尚未得到证实,但此类被称为“供应链攻击”的攻击在 npm 上已多次真实发生。例如 dYdX 曾出现虚假软件包被上传至代码库,诱骗开发者下载植入窃取加密钱包数据恶意软件的代码。攻击模式是黑客侵入负责热门开源项目的开发者账户,偷偷修改代码植入恶意软件,然后发布新版本。当其他开发者使用这个最新版本的软件包时,恶意软件就会立即在其项目中运行。
Why it matters
此类攻击直接威胁泰国加密项目开发者和用户。如果开发者使用了感染恶意软件的代码,可能导致用户资金损失并损害项目信誉。
此类攻击直接威胁泰国加密项目开发者和用户。如果开发者使用了感染恶意软件的代码,可能导致用户资金损失并损害项目信誉。
Sources (rewritten & summarized from): BleepingComputer · Malicious npm Packages Impersonate Flashbots, Steal Ethereum Wallet Keys · Crypto wallets targeted in widespread hack of npm, GitHub | RL Blog · Npm Package Hijacked to Steal Data and Crypto via AI-Powered Malware - Infosecurity Magazine · Crypto npm Malware: Hijacked npm Packages | Sonatype · NPM Supply Chain Attack Hits Popular Packages with Crypto Drainer