Mise à jour malveillante expose des clés privées
Une mise à jour malveillante d’un package pour développeurs d’Injective a exposé des clés privées et des phrases de récupération après avoir été téléchargée plus de 300 fois, selon une découverte de la société de sécurité Socket. La version 1.20.21 du package npm, qui compte environ 50 000 téléchargements hebdomadaires, a été modifiée suite à la compromission du compte GitHub d’un développeur.
Découverte et impact de la compromission
Des commits suspects ont été observés à partir du 8 juin, et la version malveillante a ensuite été intégrée à 17 autres packages sous le périmètre npm d’Injective Labs. La société de sécurité a indiqué que le code interceptait les fonctions de génération de clés de portefeuille, enregistrait les clés privées et les phrases de récupération, puis encodait ces données pour les envoyer via une télémétrie frauduleuse à une adresse web conçue pour ressembler à un serveur d’Injective.
« Toutes les clés ou mnémoniques passées par les packages affectés doivent être considérées comme compromises, » a averti Socket.
Socket a souligné que des applications pourraient avoir été exposées même si elles n’avaient pas installé le SDK directement. Bien que le développeur compromis ait rapidement détecté l’intrusion et que la version malveillante du package ait été supprimée, Socket a précisé que la campagne n’était pas encore complètement contenue.
Réactions et mesures prises
Eric Chen, le PDG d’Injective, a déclaré que les versions npm affectées avaient été dépréciées et que le problème avait été résolu. Chen a également ajouté qu’aucun fonds sur le réseau Injective n’était en danger, tandis que Socket n’a pas précisé si le malware avait entraîné le vol d’actifs.
Tendances des attaques et implications
Plutôt que de cibler la cryptographie d’une blockchain ou des contrats intelligents, l’opération a visé les logiciels utilisés par les développeurs pour créer des portefeuilles, des échanges et des applications. La Security Alliance a rapporté dans son étude sur les menaces du deuxième trimestre que les attaquants avaient de plus en plus recours à des plateformes telles que GitHub, npm et Google pour distribuer des malwares.
Dans certains cas, a indiqué SEAL, des machines compromises ont été utilisées pour injecter du code malveillant dans les dépôts GitHub d’une entreprise, transformant ainsi une violation en un canal de distribution ultérieur. Le rapport a également mentionné une augmentation des packages de malware multiplateformes combinant des voleurs d’informations, des chevaux de Troie d’accès à distance et des portes dérobées, avec une hausse des campagnes ciblant macOS.
Les versions npm d’Axios ont été touchées par une attaque similaire de la chaîne d’approvisionnement en mars, tandis que la campagne TrapDoor, découverte en mai, a ciblé des développeurs travaillant dans les domaines de la crypto, du DeFi, de l’intelligence artificielle et de la sécurité. GitHub a également signalé un accès non autorisé à des dépôts internes le 20 mai après la compromission d’un appareil d’employé.
Conséquences financières et évolution d’Injective
Les compromissions de portefeuilles ont été la méthode d’attaque crypto la plus coûteuse au cours du premier semestre 2026, représentant 444 millions de dollars volés à travers 33 cas, selon CertiK. Injective, une couche 1 interopérable pour les applications DeFi, a vu sa valeur totale verrouillée chuter de 88 % par rapport à un pic de 71 millions de dollars à la mi-2024, atteignant 8,2 millions de dollars, selon les données de DefiLlama.
Plus tôt cette année, les membres de la communauté ont approuvé l’IIP-617, accélérant les réductions de l’émission de nouveaux INJ tout en maintenant les brûlages de tokens existants.