Injective npm 套件遭惡意修改,駭客試圖竊取錢包私鑰和助記詞

BBlockBeats
Injective 區塊鏈的 npm 套件 `@injectivelabs/sdk-ts` 遭惡意修改。攻擊者入侵了一名開發者的 GitHub 帳戶,並注入惡意程式碼,旨在竊取錢包私鑰與助記詞(mnemonic phrases)。所竊取的資料隨後被編碼,並傳送至一個偽裝成合法 Injective 網路伺服器的地址。 該套件每週下載量約為 50,000 次。惡意版本 1.20.21 自 6 月 8 日起即出現可疑的提交紀錄,且已在 Injective Labs 的 npm 命名空間內鎖定其他 17 個套件。即使使用者未直接安裝此 SDK,仍可能受到影響。 [律動]