2시간 전
Injective npm 패키지, 개인키 탈취 시도로 손상
Injective npm Package Compromised, Hackers Attempt to Steal Wallet Private Keys and Seed Phrases

Odaily
핵심 포인트
Socket 모니터링에 따르면 Injective 블록체인 npm 패키지 @injectivelabs/sdk-ts가 악성 수정됐다. 공격자는 개발자의 GitHub 계정에 침투해 지갑 개인키와 시드 구문을 훔치도록 설계된 코드를 심었다. 탈취된 데이터는 인코딩된 뒤 합법적인 Injective 네트워크 서버처럼 위장한 주소로 전송된다. 해당 패키지는 주간 다운로드가 약 50,000건이다. 악성 버전 1.20.21은 6월 8일부터 의심스러운 커밋을 보였고, Injective Labs npm 범위 내 다른 17개 패키지에 고정됐다.
왜 중요한가: 손상된 개발자 패키지는 SDK를 직접 설치하지 않은 사용자에게도 소프트웨어 의존성을 통해 지갑 보안 리스크를 전파할 수 있다.
시장 심리
약세, 스트레스 국면, 기술 주도.
이유: Socket 모니터링이 Injective npm 패키지에서 악성 코드를 발견했으며, 이는 개발자 도구에 대한 신뢰를 훼손할 수 있다.
유사 과거 사례
2023년 12월 악성 Ledger Connect Kit npm 업데이트로 많은 dApp 사용자가 노출됐고, 이후 보도에 따르면 문제가 억제되기 전 지갑 손실이 $650,000를 넘었다. (The Register) 차이점은 Injective 사례가 여러 dApp에서 쓰이는 지갑 연결 라이브러리가 아니라 Injective Labs npm 범위 내 패키지에 초점을 맞춘다는 점이다.
파급 효과
애플리케이션이 고정된 코드를 가져올 때 패키지 손상은 개발자 의존성에서 최종 사용자 지갑으로 확산될 수 있다. 영향을 받은 패키지가 악성 버전에 계속 고정돼 있으면, 프로젝트가 의존성을 업데이트하고 복구 조치를 안내할 때까지 지갑 리스크 우려가 지속될 수 있다.
기회와 리스크
기회: Injective Labs 또는 패키지 유지관리자가 정상 버전이나 복구 지침을 공개하면, 검증된 의존성 업데이트가 잠재적인 신뢰 신호가 될 수 있다.
리스크: Injective Labs npm 범위 내 더 많은 패키지가 악성 버전에 계속 고정돼 있다면, 영향을 받은 앱과의 상호작용을 줄이는 것이 개인키 탈취 시도에 대한 노출을 제한한다.
This content is an AI-generated summary/analysis for informational purposes only and does not constitute investment advice.