Une mise à jour malveillante d'un package de développement Injective a exposé des clés privées et des phrases de récupération après avoir été téléchargée plus de 300 fois, selon Socket.
Selon la société de sécurité Socket, la version 1.20.21 du package npm @injectivelabs/sdk-ts, qui compte environ 50 000 téléchargements hebdomadaires, a été altérée après la compromission du compte GitHub d'un développeur. Des commits suspects ont commencé le 8 juin, et la version malveillante a ensuite été épinglée sur 17 autres packages sous l'étendue npm d'Injective Labs.
La société de sécurité a indiqué que le code interceptait les fonctions de génération de clés de portefeuille, enregistrait les clés privées et les phrases de récupération, puis encodait les données et les envoyait via une fausse télémétrie à une adresse web conçue pour ressembler à un serveur Injective.
« Toute clé ou phrase mnémonique transitant par les packages affectés doit être considérée comme compromise », a déclaré Socket, avertissant que les applications pouvaient avoir été exposées même si elles n'avaient pas installé le SDK directement.
Bien que le développeur compromis ait détecté l'intrusion rapidement et que la version malveillante du package ait été supprimée, Socket a indiqué que la campagne n'était pas encore entièrement contenue.
Eric Chen, PDG d'Injective, a déclaré que les versions npm affectées avaient été dépréciées et que le problème était résolu. Chen a ajouté qu'aucun fonds sur le réseau Injective n'était en danger, tandis que Socket n'a pas signalé si le logiciel malveillant avait entraîné le vol d'actifs.
Plutôt que d'attaquer la cryptographie ou les contrats intelligents d'une blockchain, l'opération ciblait les logiciels utilisés par les développeurs pour créer des portefeuilles, des échanges et des applications. La Security Alliance a indiqué dans son rapport sur les menaces du deuxième trimestre que les attaquants utilisaient de plus en plus des plateformes telles que GitHub, npm et Google pour distribuer des logiciels malveillants.
Dans certains cas, a déclaré SEAL, des machines compromises ont été utilisées pour injecter du code malveillant dans les propres dépôts GitHub d'une entreprise, permettant à une violation de devenir un canal de distribution supplémentaire. Le rapport cite également davantage de packages de logiciels malveillants multiplateformes combinant voleurs d'informations, chevaux de Troie d'accès à distance et portes dérobées, y compris une augmentation des campagnes ciblant macOS.
Les versions npm d'Axios ont été touchées par une attaque similaire de la chaîne d'approvisionnement en mars, tandis que la campagne TrapDoor découverte en mai ciblait les développeurs travaillant dans la crypto, la DeFi, l'intelligence artificielle et la sécurité. GitHub a également divulgué un accès non autorisé aux dépôts internes le 20 mai après la compromission d'un appareil employé.
Les compromissions de portefeuilles étaient la méthode d'attaque crypto la plus coûteuse au premier semestre 2026, représentant 444 millions de dollars volés dans 33 cas, selon CertiK.
Injective, une couche 1 interopérable pour les applications DeFi, a vu sa valeur totale verrouillée chuter de 88 %, passant d'un pic de 71 millions de dollars mi-2024 à 8,2 millions de dollars, selon les données de DefiLlama. Plus tôt cette année, les membres de la communauté ont approuvé l'IIP-617, accélérant les réductions de nouvelles émissions d'INJ tout en maintenant les brûlures de tokens existantes.


