A tangled ball of colorful wires with a shadowy
Crypto

Le SDK Injective visait des clés privées et phrases secrètes

@Injectivelabs/sdk-ts v1.20.21 a été téléchargé 310 fois avant son retrait, et les chercheurs ont recommandé une rotation des clés pour tous les portefeuilles exposés.

Par AI News Crypto Editorial Team5 min de lecture

Une compromission de la chaîne d'approvisionnement a touché le package npm @injectivelabs/sdk-ts largement utilisé, les attaquants ayant modifié la version 1.20.21 pour voler des clés privées de portefeuille et des phrases de récupération. La version malveillante a été retirée et dépréciée, mais les chercheurs ont averti que tous les secrets traités par les packages affectés devraient être considérés comme compromis.

Points clés

  • Une version malveillante de @injectivelabs/sdk-ts (v1.20.21) a été modifiée pour capturerdes clés privéeset des mnémoniques en interférant avec les fonctions de dérivation de clés de portefeuille et en envoyant des données via une "télémetrie factice."
  • L'empreinte de l'SDK est grande avec environ 50 000 téléchargements hebdomadaires, même si la version compromise spécifique a été retirée après 310 téléchargements.
  • Le risque d'exposition s'étend au-delà des installations directes car la v1.20.21 a été épinglée dans 17 autres packages dans le périmètre npm d'Injective Labs.
  • Les chercheurs ont conseillé de traiter toutes les clés ouphrases de récupérationpassées par les packages affectés comme compromises, tandis que le PDG d'Injective, Eric Chen, a déclaré que le problème était résolu et que "Aucun fonds sur le réseau n'est en danger," avec les versions affectées dépréciées.

Secrets de portefeuille ciblés par la porte dérobée du SDK npm d'Injective

Une attaque de la chaîne d'approvisionnement logicielle a compromis les outils de développement d'Injective en intégrant un logiciel malveillant dans le package npm @injectivelabs/sdk-ts.

Des chercheurs en sécurité de Socket ont révélé que la version 1.20.21 avait été modifiée pour voler les clés privées des portefeuilles crypto et les phrases de récupération (mnémotechniques), ce qui constitue une atteinte directe à la sécurité des portefeuilles plutôt qu'un échec au niveau du protocole.

Le code malveillant a été supprimé. Le PDG d'Injective, Eric Chen, a déclaré : « c'est déjà corrigé, et les versions affectées sur npm sont déjà obsolètes », et a ajouté : « Aucun fonds sur le réseau n'est en danger », présentant l'incident comme un compromis de dépendance qui pourrait impacter les développeurs et les utilisateurs ayant exécuté des versions affectées, et non la chaîne Injective elle-même.

Comment la v1.20.21 a exfiltré des clés via des "télémetries fausses"

La description de Socket est directe : « La libération malveillante accroche les fonctions de dérivation de clés de portefeuille, enregistre les clés privées et les mnémoniques, et les exfiltre via une fausse télémétrie », ce qui signifie que les processus normaux de création ou de dérivation de portefeuille pourraient silencieusement divulguer des secrets.

Le chemin d'intrusion est important. Socket a lié la modification à un compte GitHub de développeur compromis, avec des commits suspects commençant le 8 juin. Cela crée une fenêtre de risque claire pour quiconque a installé ou construit contre la dépendance affectée pendant cette période.

L'exfiltration a été conçue pour se fondre dans le décor. Les données volées ont été codées et envoyées à un webadressefait pour ressembler à un serveur légitime du réseau Injective, conforme au vol de données d'identification visant à éviter de casser des applications ou de déclencher des alarmes immédiates.

Rayon d'explosion : 50 000 téléchargements hebdomadaires et 17 paquets épinglés

L'échelle du paquet est le problème opérationnel. @injectivelabs/sdk-ts voit environ 50 000 téléchargements hebdomadaires, et Socket a qualifié cette empreinte de "significative pour les développeurs et les applications qui gèrent les flux de travail du portefeuille Injective."

La version malveillante spécifique a été téléchargée 310 fois avant son retrait, ce qui suggère une distribution confirmée limitée de v1.20.21 elle-même, mais pas nécessairement une exposition en aval limitée.

Le risque de second ordre est la propagation de dépendance. Socket a déclaré que v1.20.21 était épinglé à travers 17 autres paquets dans le champ npm d'Injective Labs, "exposant les utilisateurs qui n'ont peut-être pas installé le SDK directement."

En pratique, les dépendances épinglées peuvent tirer une version compromise dans les constructions via des installations transitives, élargissant l'ensemble des applications affectées au-delà des équipes qui ont volontairement mis à jour le SDK.

La remédiation n'est pas simplement "mettre à jour et passer à autre chose." Socket a averti : "Toute clé ou mnémonique passée par des paquets affectés doit être considérée comme compromise," impliquant une migration de portefeuille et une rotation des clés pour tous les secrets qui ont touché le code compromis.

Socket a également déclaré que le développeur dont le compte a été infiltré a détecté la compromission rapidement, mais a averti que "la campagne elle-même n'est pas encore entièrement contenue," laissant une incertitude autour des autres versions ou paquets affectés.

Pourquoi le vol de portefeuille de la chaîne d'approvisionnement continue d'apparaître dans la crypto

Cet incident s'inscrit dans un schéma : les attaquants ciblent de plus en plus des rails de distribution de confiance comme npm et GitHub au lieu d'essayer de casser la cryptographie de la chaîne.

L'Alliance de Sécurité (SEAL) a averti que "des systèmes compromis sont utilisés pour pousser du code malveillant directement dans les propres dépôts GitHub d'une entreprise, transformant une seule compromission en un canal de distribution pour la suivante," et a noté que les logiciels malveillants deviennent plus larges "avec des charges utiles multiplateformes, y compris une augmentation des campagnes spécifiques à macOS, qui combinent des voleurs d'informations, des RAT (chevaux de Troie d'accès à distance) et des capacités de porte dérobée dans un seul paquet."

L'incitation est claire. CertiK a rapporté que les compromissions de portefeuille étaient le vecteur d'attaque le plus coûteux au premier semestre 2026, avec 444 millions de dollars volés à travers 33 incidents.

Le suivi compte maintenant plus que la divulgation initiale. Les traders et les utilisateurs de DeFi devraient rechercher des mises à jour sur la question de savoir si la campagne est entièrement contenue, si d'autres paquets du champ Injective ont été affectés au-delà de @injectivelabs/sdk-ts v1.20.21, et si des fonds volés sont confirmés à partir de clés qui ont traversé des constructions impactées.

Du côté des développeurs, le signal est une remédiation publique : statut de dépréciation à travers le champ npm d'Injective Labs et si des projets majeurs confirment une rotation des clés ou des migrations de portefeuille après une exposition potentielle.

Traitez cela comme un événement de risque de portefeuille, pas comme une histoire de panne de chaîne

Je considère cela comme une configuration de compromission de portefeuille avec un désavantage asymétrique pour quiconque a touché la dépendance pendant la fenêtre d'intrusion, pas comme une exploitation de protocole qui devrait mécaniquement revaloriser le risque de chaîne d'Injective.

La déclaration de Chen selon laquelle "Aucun fonds sur le réseau n'est à risque" est cohérente avec ce cadre, mais cela ne réduit pas l'urgence pour les développeurs et les utilisateurs avancés car la cible du vol est le matériel secret qui contrôle les portefeuilles.

Le seuil qui compte est de savoir si les drains en aval sont attribués à des clés dérivées ou gérées via les paquets affectés. Si ce lien apparaît et que la remédiation reste inégale à travers les dApps d'Injective, la configuration commence à sembler structurelle plutôt que narrative, car elle traduirait un incident de chaîne d'approvisionnement en pertes de portefeuille réelles et répétées.

Sources