据 Cointelegraph 报道,安全公司 Socket 发现 Injective 区块链的 npm 软件包@injectivelabs/sdk-ts 被恶意修改,攻击者通过入侵开发者 GitHub 账户植入窃取钱包私钥和助记词的恶意代码,并将数据发送至伪装成合法 Injective 网络服务器的地址。该软件包周下载量约 5万次,恶意版本 1.20.21 于6 月8 日开始存在可疑提交,并被锁定在 Injective Labs npm 范围内的其他 17 个包中。