Une mise à jour malveillante d’un package de développement Injective a exposé des clés privées et des phrases de récupération après avoir été téléchargée plus de 300 fois, a constaté Socket. SelonUne mise à jour malveillante d’un package de développement Injective a exposé des clés privées et des phrases de récupération après avoir été téléchargée plus de 300 fois, a constaté Socket. Selon

Le SDK Injective compromis envoie les clés de portefeuille via une télémétrie falsifiée

2026/07/10 13:43
Temps de lecture : 3 min
Pour tout commentaire ou toute question concernant ce contenu, veuillez nous contacter à l'adresse suivante : crypto.news@mexc.com

Une mise à jour malveillante d'un package de développement Injective a exposé des clés privées et des phrases de récupération après avoir été téléchargée plus de 300 fois, selon Socket.

Résumé
  • Socket a découvert qu'un package npm Injective compromis copiait les clés privées et les phrases de récupération via une télémétrie falsifiée.
  • La version malveillante a été téléchargée plus de 300 fois et s'est propagée via 17 packages liés à Injective Labs.
  • CertiK a rapporté que les compromissions de portefeuilles ont causé 444 millions de dollars de pertes au cours du premier semestre 2026.

Selon la société de sécurité Socket, la version 1.20.21 du package npm @injectivelabs/sdk-ts, qui compte environ 50 000 téléchargements hebdomadaires, a été altérée après la compromission du compte GitHub d'un développeur. Des commits suspects ont commencé le 8 juin, et la version malveillante a ensuite été épinglée sur 17 autres packages sous l'étendue npm d'Injective Labs.

La société de sécurité a indiqué que le code interceptait les fonctions de génération de clés de portefeuille, enregistrait les clés privées et les phrases de récupération, puis encodait les données et les envoyait via une fausse télémétrie à une adresse web conçue pour ressembler à un serveur Injective.

« Toute clé ou phrase mnémonique transitant par les packages affectés doit être considérée comme compromise », a déclaré Socket, avertissant que les applications pouvaient avoir été exposées même si elles n'avaient pas installé le SDK directement.

Bien que le développeur compromis ait détecté l'intrusion rapidement et que la version malveillante du package ait été supprimée, Socket a indiqué que la campagne n'était pas encore entièrement contenue.

Eric Chen, PDG d'Injective, a déclaré que les versions npm affectées avaient été dépréciées et que le problème était résolu. Chen a ajouté qu'aucun fonds sur le réseau Injective n'était en danger, tandis que Socket n'a pas signalé si le logiciel malveillant avait entraîné le vol d'actifs.

Les développeurs deviennent la cible

Plutôt que d'attaquer la cryptographie ou les contrats intelligents d'une blockchain, l'opération ciblait les logiciels utilisés par les développeurs pour créer des portefeuilles, des échanges et des applications. La Security Alliance a indiqué dans son rapport sur les menaces du deuxième trimestre que les attaquants utilisaient de plus en plus des plateformes telles que GitHub, npm et Google pour distribuer des logiciels malveillants.

Dans certains cas, a déclaré SEAL, des machines compromises ont été utilisées pour injecter du code malveillant dans les propres dépôts GitHub d'une entreprise, permettant à une violation de devenir un canal de distribution supplémentaire. Le rapport cite également davantage de packages de logiciels malveillants multiplateformes combinant voleurs d'informations, chevaux de Troie d'accès à distance et portes dérobées, y compris une augmentation des campagnes ciblant macOS.

Les versions npm d'Axios ont été touchées par une attaque similaire de la chaîne d'approvisionnement en mars, tandis que la campagne TrapDoor découverte en mai ciblait les développeurs travaillant dans la crypto, la DeFi, l'intelligence artificielle et la sécurité. GitHub a également divulgué un accès non autorisé aux dépôts internes le 20 mai après la compromission d'un appareil employé.

Les compromissions de portefeuilles étaient la méthode d'attaque crypto la plus coûteuse au premier semestre 2026, représentant 444 millions de dollars volés dans 33 cas, selon CertiK.

Injective, une couche 1 interopérable pour les applications DeFi, a vu sa valeur totale verrouillée chuter de 88 %, passant d'un pic de 71 millions de dollars mi-2024 à 8,2 millions de dollars, selon les données de DefiLlama. Plus tôt cette année, les membres de la communauté ont approuvé l'IIP-617, accélérant les réductions de nouvelles émissions d'INJ tout en maintenant les brûlures de tokens existantes.

Combo Coupe du monde : 200x

Combo Coupe du monde : 200xCombo Coupe du monde : 200x

20 matchs de la Coupe du monde en un seul ordre

Clause de non-responsabilité : les articles republiés sur ce site proviennent de plateformes publiques et sont fournis à titre informatif uniquement. Ils ne reflètent pas nécessairement les opinions de MEXC. Tous les droits restent la propriété des auteurs d'origine. Si vous estimez qu'un contenu porte atteinte aux droits d'un tiers, veuillez contacter crypto.news@mexc.com pour demander sa suppression. MEXC ne garantit ni l'exactitude, ni l'exhaustivité, ni l'actualité des contenus, et décline toute responsabilité quant aux actions entreprises sur la base des informations fournies. Ces contenus ne constituent pas des conseils financiers, juridiques ou professionnels, et ne doivent pas être interprétés comme une recommandation ou une approbation de la part de MEXC.

5 M$ de positions SPCX offerts

5 M$ de positions SPCX offerts5 M$ de positions SPCX offerts

0 frais, levier 100x, cadeaux et 7 000 actions/ETF