Des pirates ont injecté un malware voleur de portefeuilles dans un package officiel de développement Injective (INJ) affichant en moyenne 50 000 téléchargements hebdomadaires. La version corrompue a été récupérée 310 fois avant d’être nettoyée en urgence.
À retenir
- Une version compromise du principal kit TypeScript d’Injective copiait les phrases de récupération et les clés privées des portefeuilles lors d’un usage normal.
- La version malveillante a été propagée sur 18 packages, téléchargée 310 fois et n’est restée en ligne que moins d’une heure.
- Les chercheurs estiment que toute clé passée par les versions concernées doit être considérée comme compromise.
Les détails de la porte dérobée du SDK Injective
La société de cybersécurité Socket a révélé jeudi que la version 1.20.21 du package npm @injectivelabs/sdk-ts avait été altérée via le compte GitHub compromis d’un contributeur. Ce SDK constitue un composant essentiel pour les portefeuilles, plateformes d’échange et bots de trading sur Injective, une blockchain de couche 1 dédiée à la finance décentralisée.
Le code malveillant se faisait passer pour de simples outils de télémétrie et interceptait les fonctions qui transforment une phrase mnémonique ou une clé privée brute en clé de signature opérationnelle. À chaque appel de ces fonctions par une application, le code enregistrait discrètement les secrets, les regroupait pendant deux secondes, puis les envoyait vers un serveur se faisant passer pour une infrastructure légitime d’Injective. Les données volées transitaient dans un en-tête de requête HTTP, ce qui leur permettait de se fondre dans le trafic habituel.
Le processus de publication automatisée a répliqué la même version empoisonnée dans 17 packages apparentés en quelques minutes à peine, élargissant la surface d’exposition à des équipes qui n’avaient jamais installé directement le SDK principal.
Une analyse au niveau des commits a montré que la charge malveillante est devenue active le 8 juillet avant d’être retirée en moins d’une heure, une version corrigée 1.20.23 étant publiée dans la foulée.
Le directeur général d’Injective, Eric Chen, a assuré que la faille était déjà colmatée et qu’aucun fonds sur le réseau n’était menacé. La version compromise a toutefois seulement été marquée comme obsolète sur npm, sans être supprimée, ce qui la laisse encore téléchargeable. Des artefacts de la version infectée restaient également accessibles sur GitHub au moment de la divulgation.
À lire aussi : L’« instant ETF » de Solana devient difficile à ignorer après le nouveau dépôt de Bitwise
Pourquoi les clés de portefeuilles crypto étaient la cible
Les chercheurs qualifient cette compromission de « significative pour les développeurs et les applications qui gèrent les flux de portefeuilles Injective », sans préciser si des actifs ont effectivement été dérobés. Les équipes sont invitées à considérer toute clé ou phrase mnémonique ayant transité par les versions affectées comme compromise, à migrer les fonds vers de nouveaux portefeuilles et à révoquer l’ensemble des secrets présents dans leurs environnements.
Ce type d’attaque ne remet pas en cause la cryptographie de la blockchain elle‑même. Les assaillants empoisonnent plutôt les outils de confiance utilisés par les développeurs, transformant un seul compte compromis en canal de distribution capable de contaminer silencieusement des milliers d’applications en aval.
Le SDK compromis compte à lui seul 87 autres packages npm dépendants directs, ont rapporté les analystes.
Cet épisode conclut une période éprouvante pour les outils open source de l’écosystème crypto, après une compromission similaire de versions npm d’Axios en mars et la campagne de malware TrapDoor qui a visé des développeurs crypto et DeFi en mai. CertiK a classé les compromissions de portefeuilles comme le vecteur d’attaque le plus coûteux du premier semestre 2026, avec 444 millions de dollars dérobés au cours de 33 incidents.
À suivre : Grok 4.5 défie OpenAI et Anthropic avec une IA agentique moins chère





