Socket 发现了一个被注入(Injective)的 npm 包(每周约 5 万次下载),该包被修改以窃取钱包私钥和助记词。恶意软件已被移除,但该活动已被下载 300+ 次,且尚未完全遏制;Injective 表示受影响的版本已被弃用,且网络上的资金不在风险之中。
安全公司 Socket 识别出一个遭篡改的 Injective npm 包,该包被约 50,000 次每周下载使用,可能会外传钱包私钥和助记词。恶意载荷已被移除,但该恶意活动已下载超过 300 次,尚未完全遏制。Injective 首席执行官 Eric Chen 表示,受影响的版本已被弃用,网络上没有资金处于风险之中。此次事件凸显了 npm 包中持续存在的供应链风险,以及在 DeFi 项目中对依赖项进行严格验证的必要性。