การอัปเดตที่เป็นอันตรายต่อแพ็กเกจนักพัฒนาของ Injective ได้เปิดเผยคีย์ส่วนตัวและวลีเมล็ดหลังจากถูกดาวน์โหลดมากกว่า 300 ครั้ง Socket พบว่า ตามการอัปเดตที่เป็นอันตรายต่อแพ็กเกจนักพัฒนาของ Injective ได้เปิดเผยคีย์ส่วนตัวและวลีเมล็ดหลังจากถูกดาวน์โหลดมากกว่า 300 ครั้ง Socket พบว่า ตาม

SDK ของ Injective ที่ถูกเจาะระบบส่งคีย์กระเป๋าเงินผ่านข้อมูล telemetry ปลอม

2026/07/10 13:43
1 นาทีในการอ่าน
หากมีข้อเสนอแนะหรือข้อกังวลเกี่ยวกับเนื้อหานี้ โปรดติดต่อเราได้ที่ [email protected]

Socket พบว่าการอัปเดตที่เป็นอันตรายต่อแพ็กเกจสำหรับนักพัฒนาของ Injective ได้เปิดเผยคีย์ส่วนตัวและวลีเมล็ดพันธุ์ หลังจากถูกดาวน์โหลดมากกว่า 300 ครั้ง

สรุป
  • Socket พบว่าแพ็กเกจ npm ของ Injective ที่ถูกเจาะระบบได้คัดลอกคีย์ส่วนตัวและวลีเมล็ดพันธุ์ผ่านระบบ telemetry ปลอม
  • เวอร์ชันที่เป็นอันตรายถูกดาวน์โหลดมากกว่า 300 ครั้ง และแพร่กระจายผ่านแพ็กเกจที่เกี่ยวข้องของ Injective Labs จำนวน 17 แพ็กเกจ
  • CertiK รายงานว่าการถูกเจาะระบบกระเป๋าเงินทำให้เกิดความสูญเสียมูลค่า 444 ล้านดอลลาร์ในช่วงครึ่งแรกของปี 2026

ตามข้อมูลจากบริษัทความปลอดภัย Socket เวอร์ชัน 1.20.21 ของแพ็กเกจ npm @injectivelabs/sdk-ts ซึ่งมีการดาวน์โหลดประมาณ 50,000 ครั้งต่อสัปดาห์ ถูกแก้ไขหลังจากบัญชี GitHub ของนักพัฒนาถูกเจาะระบบ การคอมมิตที่น่าสงสัยเริ่มขึ้นเมื่อวันที่ 8 มิถุนายน และการปล่อยเวอร์ชันที่เป็นอันตรายต่อมาถูกปักหมุดไว้ในอีก 17 แพ็กเกจภายใต้ขอบเขต npm ของ Injective Labs

บริษัทความปลอดภัยระบุว่าโค้ดดังกล่าวได้ดักจับฟังก์ชันการสร้างคีย์ของกระเป๋าเงิน บันทึกคีย์ส่วนตัวและวลีกู้คืน จากนั้นเข้ารหัสข้อมูลและส่งผ่านระบบ telemetry ปลอมไปยังที่อยู่เว็บที่เลียนแบบเซิร์ฟเวอร์ของ Injective

“คีย์หรือวลี mnemonic ใดๆ ที่ส่งผ่านแพ็กเกจที่ได้รับผลกระทบควรถือว่าถูกเจาะระบบแล้ว” Socket กล่าว พร้อมเตือนว่าแอปพลิเคชันอาจมีความเสี่ยงแม้ว่าจะไม่ได้ติดตั้ง SDK โดยตรงก็ตาม

แม้ว่านักพัฒนาที่ถูกเจาะระบบจะตรวจพบการบุกรุกได้อย่างรวดเร็วและเวอร์ชันแพ็กเกจที่เป็นอันตรายถูกลบออกไปแล้ว แต่ Socket ระบุว่าแคมเปญนี้ยังไม่ถูกควบคุมได้อย่างสมบูรณ์

Eric Chen ซีอีโอของ Injective กล่าวว่าเวอร์ชัน npm ที่ได้รับผลกระทบถูกยกเลิกการใช้งานและปัญหาได้รับการแก้ไขแล้ว Chen เพิ่มเติมว่าไม่มีเงินทุนบนเครือข่าย Injective ที่มีความเสี่ยง ในขณะที่ Socket ไม่ได้รายงานว่ามัลแวร์ส่งผลให้สินทรัพย์ถูกขโมยไปหรือไม่

นักพัฒนากลายเป็นเป้าหมาย

แทนที่จะโจมตีระบบการเข้ารหัสหรือสัญญาอัจฉริยะของบล็อกเชน การปฏิบัติการครั้งนี้มุ่งเป้าไปที่ซอฟต์แวร์ที่นักพัฒนาใช้สร้างกระเป๋าเงิน แอปพลิเคชันแลกเปลี่ยน และแอปพลิเคชันต่างๆ Security Alliance ระบุในรายงานภัยคุกคามประจำไตรมาสที่สองว่า ผู้โจมตียังคงใช้แพลตฟอร์มอย่าง GitHub, npm และ Google เพื่อกระจายมัลแวร์เพิ่มมากขึ้น

SEAL ระบุว่าในบางเหตุการณ์ เครื่องที่ถูกเจาะระบบถูกใช้เพื่อผลักดันโค้ดที่เป็นอันตรายเข้าสู่ที่เก็บ GitHub ของบริษัทเอง ทำให้การละเมิดครั้งเดียวกลายเป็นช่องทางสำหรับการกระจายเพิ่มเติม รายงานยังอ้างถึงแพ็กเกจมัลแวร์ข้ามแพลตฟอร์มที่รวมเครื่องมือขโมยข้อมูล ม้าโทรจันเข้าถึงระยะไกล และแบ็คดอร์ รวมถึงการเพิ่มขึ้นของแคมเปญที่มุ่งเป้าไปที่ macOS

การปล่อยเวอร์ชัน npm ของ Axios ถูกโจมตีผ่านห่วงโซ่อุปทานในลักษณะเดียวกันในเดือนมีนาคม ขณะที่แคมเปญ TrapDoor ที่พบในเดือนพฤษภาคมมุ่งเป้าไปที่นักพัฒนาที่ทำงานในด้านคริปโตเคอเรนซี, DeFi, ปัญญาประดิษฐ์ และความปลอดภัย นอกจากนี้ GitHub ยังเปิดเผยถึงการเข้าถึงที่เก็บภายในโดยไม่ได้รับอนุญาตเมื่อวันที่ 20 พฤษภาคม หลังจากอุปกรณ์ของพนักงานถูกเจาะระบบ

การถูกเจาะระบบกระเป๋าเงินเป็นวิธีการโจมตีคริปโตเคอเรนซีที่สร้างความเสียหายมากที่สุดในช่วงครึ่งแรกของปี 2026 คิดเป็นมูลค่าความสูญเสีย 444 ล้านดอลลาร์จาก 33 กรณี ตามข้อมูลของ CertiK

Injective ซึ่งเป็นเลเยอร์ 1 แบบทำงานร่วมกันได้สำหรับแอปพลิเคชัน DeFi มีมูลค่ารวมที่ถูกล็อก (TVL) ลดลง 88% จากจุดสูงสุดกลางปี 2024 ที่ 71 ล้านดอลลาร์ เหลือเพียง 8.2 ล้านดอลลาร์ ตามข้อมูลจาก DefiLlama เมื่อต้นปีนี้ สมาชิกชุมชนได้อนุมัติ IIP-617 ซึ่งเร่งการลดการออกเหรียญ INJ ใหม่ในขณะที่คงการเผาเหรียญที่มีอยู่ไว้

คอมโบฟุตบอลโลก: ลุ้นสูงสุด 200x

คอมโบฟุตบอลโลก: ลุ้นสูงสุด 200xคอมโบฟุตบอลโลก: ลุ้นสูงสุด 200x

รวมการแข่งขันฟุตบอลโลกได้สูงสุด 20 คู่ในคำสั่งเดียว

ข้อจำกัดความรับผิดชอบ: บทความที่โพสต์ซ้ำในไซต์นี้มาจากแพลตฟอร์มสาธารณะและมีไว้เพื่อจุดประสงค์ในการให้ข้อมูลเท่านั้น ซึ่งไม่ได้สะท้อนถึงมุมมองของ MEXC แต่อย่างใด ลิขสิทธิ์ทั้งหมดยังคงเป็นของผู้เขียนดั้งเดิม หากคุณเชื่อว่าเนื้อหาใดละเมิดสิทธิของบุคคลที่สาม โปรดติดต่อ [email protected] เพื่อลบออก MEXC ไม่รับประกันความถูกต้อง ความสมบูรณ์ หรือความทันเวลาของเนื้อหาใดๆ และไม่รับผิดชอบต่อการดำเนินการใดๆ ที่เกิดขึ้นตามข้อมูลที่ให้มา เนื้อหานี้ไม่ถือเป็นคำแนะนำทางการเงิน กฎหมาย หรือคำแนะนำจากผู้เชี่ยวชาญอื่นๆ และไม่ถือว่าเป็นคำแนะนำหรือการรับรองจาก MEXC

คุณอาจชอบเช่นกัน

ไม่ใช่ช่องโหว่: การควบคุมการส่งออก AI ของสิงคโปร์ทำให้จีนเข้าถึง AI ของสหรัฐฯ ได้อย่างถูกกฎหมาย

ไม่ใช่ช่องโหว่: การควบคุมการส่งออก AI ของสิงคโปร์ทำให้จีนเข้าถึง AI ของสหรัฐฯ ได้อย่างถูกกฎหมาย

เทคโนโลยี AI ของสหรัฐอเมริกากำลังเข้าถึงยักษ์ใหญ่ด้านเทคโนโลยีของจีนผ่านเส้นทางที่มาตรการควบคุมการส่งออกของสหรัฐฯ ไม่ได้ออกแบบมาเพื่อปิดกั้น: สิงคโปร์ นครรัฐแห่งนี้ตั้งอยู่นอก
แชร์
The Cryptonomist2026/07/10 14:46
ไนจีเรียลงทุน 9 ล้านดอลลาร์ในการวิจัยเพื่อขับเคลื่อนความทะเยอทะยานด้านเศรษฐกิจดิจิทัล

ไนจีเรียลงทุน 9 ล้านดอลลาร์ในการวิจัยเพื่อขับเคลื่อนความทะเยอทะยานด้านเศรษฐกิจดิจิทัล

ไนจีเรียมอบทุน 9 ล้านดอลลาร์ (₦12 พันล้าน) สำหรับโครงการวิจัยระดับชาติใหม่ที่มุ่งเสริมสร้างการกำหนดนโยบายที่อิงหลักฐานเชิงประจักษ์
แชร์
Techcabal2026/04/02 18:17
Bitcoin Perpetual Futures: อัตราส่วน Long/Short บนกระดานเทรดชั้นนำ

Bitcoin Perpetual Futures: อัตราส่วน Long/Short บนกระดานเทรดชั้นนำ

BitcoinWorld สัญญาฟิวเจอร์ส Bitcoin แบบไม่มีวันหมดอายุ: อัตราส่วน Long/Short ในตลาดแลกเปลี่ยนชั้นนำ นักเทรดสัญญาฟิวเจอร์ส Bitcoin แบบไม่มีวันหมดอายุแสดงแนวโน้มขาขึ้นเล็กน้อย ตาม
แชร์
bitcoinworld2026/07/10 14:10

เปิดใช้งานเพื่อรับสิทธิพิเศษ

เปิดใช้งานเพื่อรับสิทธิพิเศษเปิดใช้งานเพื่อรับสิทธิพิเศษ

เข้าถึงค่า Fee 0 สนับสนุนพรีเมียม และคุ้มครองขาดทุน