恶意SDK入侵开发者生态

一次针对 Injective 区块链开发环境的供应链攻击被曝光,黑客在官方 TypeScript SDK 包 injectivelabs/sdk-ts 1.20.21 版本中植入了窃取钱包信息的恶意程序。该包是构建去中心化金融应用、代币化资产及交易所的核心工具,每周下载量达5万次,广泛应用于加密钱包、交易机器人与支付系统开发。 攻击者利用一名曾有贡献记录的开发者账户提交了含恶意代码的更新,自6月8日起开始传播。恶意代码钩入密钥生成函数,在应用调用时秘密复制助记词或私钥,并通过Base64编码后,以伪装成正常网络流量的方式发送至一个仿冒 Injective Labs 公共基础设施的端点,实现隐蔽外泄。

多包联动导致广泛影响

受影响的不仅限于核心SDK,攻击者还同步在其他17个隶属于 Injective Labs 的npm包中发布相同版本,这些包因锁定该版本而自动引入恶意代码。尽管总下载量约310次,但实际泄露仅发生在处理私钥或恢复短语的应用场景中。 Injective 首席执行官 Eric Chen 表示问题已修复,所有受感染版本已在约49分钟内弃用,并以1.20.23版本替换为干净版本。虽然目前无证据显示资金被盗,但 Socket 安全公司强调,所有通过受影响包处理过的密钥和助记词应视为已泄露。

开发者须立即采取防护措施

安全机构敦促开发者转移资金、更换密钥与助记词,并全面检查项目依赖关系。仅审计直接依赖不足以确保安全,必须追溯传递依赖链。此次攻击并非针对区块链本身,而是瞄准开发者的软件工具链,反映出当前智能合约与应用层安全威胁正日益聚焦于构建环节。 根据 CertiK 数据,2026年上半年,因钱包入侵造成的经济损失已超4.44亿美元,仅33起事件即成为最大损失来源,凸显开发者生态安全的重要性。