Injective開発者パッケージへの悪意のあるアップデートにより、プライベートキーとシードフレーズが漏洩しました。このパッケージは300回以上ダウンロードされていたことがSocketによって発見されました。
セキュリティ企業Socketによると、週間約5万回のダウンロードがある@injectivelabs/sdk-ts npmパッケージのバージョン1.20.21は、開発者のGitHubアカウントが侵害された後に変更されました。疑わしいコミットは6月8日に始まり、その後、悪意のあるリリースはInjective Labsのnpmスコープ下にある他の17のパッケージにピン留めされました。
同社によると、このコードはウォレットの鍵生成機能を傍受し、プライベートキーとリカバリーフレーズを記録した後、データをエンコードして、Injectiveサーバーに見せかけたウェブアドレスへ偽のテレメトリを通じて送信しました。
「影響を受けたパッケージを経由した鍵やニーモニックはすべて侵害されたものとみなすべきです」とSocketは述べ、SDKを直接インストールしていない場合でもアプリケーションが露呈していた可能性があるとの警告を発しました。
侵害された開発者が侵入を迅速に検知し、悪意のあるパッケージバージョンは削除されましたが、Socketはこのキャンペーンが完全に封じ込められたわけではないと述べています。
InjectiveのCEOであるEric Chen氏は、影響を受けたnpmリリースは非推奨となり、問題は修正されたと述べました。Chen氏はさらに、Injectiveネットワーク上の資金はリスクにさらされていないと付け加えましたが、Socketはマルウェアによる資産盗難があったかどうかについては報告していません。
この作戦はブロックチェーンの暗号技術やスマートコントラクトを攻撃するのではなく、開発者がウォレット、取引所、アプリケーションを構築するために使用するソフトウェアを標的としました。Security Allianceは第2四半期の脅威レポートで、攻撃者がGitHub、npm、Googleなどのプラットフォームを利用してマルウェアを配布するケースが増加していると指摘しました。
SEALによると、一部の事例では、侵害されたマシンを使用して企業のGitHubリポジトリに悪意のあるコードが押し込まれ、1つの侵害がさらなる配布の経路となっていました。また、レポートでは、情報窃取型トロイの木馬、リモートアクセストロイ、バックドアを組み合わせたクロスプラットフォームのマルウェアパッケージ、特にmacOSを対象としたキャンペーンの増加も引用されました。
Axiosのnpmリリースは3月に同様のサプライチェーン攻撃を受け、5月に発見されたTrapDoorキャンペーンは、クリプト、DeFi、人工知能、セキュリティ分野の開発者を標的としていました。GitHubも5月20日、従業員のデバイスが侵害された後、内部リポジトリへの不正アクセスがあったことを開示しました。
CertiKによると、2026年上半期において、ウォレットの侵害は最もコストのかかるクリプト攻撃手法であり、33件の事例で合計4億4,400万ドルが盗まれました。
DeFiアプリケーション向けの相互運用可能なレイヤー1であるInjectiveは、DefiLlamaのデータによると、総預かり資産(TVL)が2024年半ばのピークである7,100万ドルから88%減少し、820万ドルとなりました。今年初め、コミュニティメンバーはIIP-617を承認し、既存のトークンバーンを維持しながら新しいINJの発行削減を加速させました。

