安全公司:黑客試圖在Injective npm包中植入後門以竊取錢包金鑰

MMetaEra
7 月 10 日(UTC+8),安全公司Socket發現Injective區塊鏈的npm軟體包@injectivelabs/sdk-ts被惡意修改,攻擊者通過入侵開發者GitHub賬戶植入竊取錢包私鑰和助記詞的惡意程式碼,並將竊取的資料編碼後傳送至偽裝成合法Injective網路伺服器的地址。該軟體包周下載量約5萬次,惡意版本1.20.21於6月8日開始存在可疑提交,並被鎖定在Injective Labs npm範圍內的其他17個包中,這意味著即使未直接安裝該SDK的使用者也可能受到影響。 Injective CEO Eric Chen表示問題已修復,受影響版本已被棄用,網路上的資金不存在風險,但該惡意包已被下載超310次,安全公司Socket稱該攻擊尚未被完全遏制。(來源:PANews) [ME News]