Security

Injective SDK 被破坏,暴露了钱包密钥

Injective SDK 被破坏,暴露了钱包密钥

Injective 开发者包的一次恶意更新在被下载超过 300 次后暴露了私钥和种子短语,根据安全公司 Socket 的说法。 受损版本,即 @injectivelabs/sdk-ts npm 包的 1.20.21 版本,在开发者的 GitHub 账户被泄露后被篡改,6 月 8 日开始出现可疑的提交。 恶意代码拦截了钱包密钥生成函数,记录私钥和恢复短语,然后通过伪造的遥测数据发送到一个类似 Injective 服务器的 Web 地址。

恶意包详情

恶意版本在 Injective Labs npm 范围内的 17 个其他包中被固定,可能会暴露应用程序,即使它们没有直接安装 SDK。 Socket 警告说,通过受影响的包传递的任何密钥或助记符都应被视为已泄露。

事件响应

尽管受损的开发者快速检测到入侵,并且恶意包版本已经被删除,但 Socket 表示该活动尚未完全被遏制。 Injective