Des hackers ont piégé le SDK d’Injective (50 000 téléchargements) pour dérober les phrases-seed des développeurs

Des hackers ont piégé le SDK d’Injective (50 000 téléchargements) pour dérober les phrases-seed des développeurs

Des hackers ont dissimulé un malware voleur de portefeuilles dans un package officiel de développement Injective (INJ), téléchargé en moyenne 50 000 fois par semaine. La version contaminée a été récupérée 310 fois avant d’être rapidement nettoyée.

Points clés :

  • Une version corrompue du principal kit TypeScript d’Injective copiait phrases-seed et clés privées de portefeuilles lors d’un usage normal.
  • La version malveillante s’est propagée à 18 packages, a été téléchargée 310 fois et n’est restée en ligne que moins d’une heure.
  • Les chercheurs estiment que toute clé passée par les versions touchées doit être considérée comme compromise.

Détails sur la porte dérobée du SDK Injective

La société de cybersécurité Socket a révélé jeudi que la version 1.20.21 du package @injectivelabs/sdk-ts sur npm avait été modifiée via le compte GitHub compromis d’un contributeur. Ce SDK est un composant central pour les portefeuilles, plateformes d’échange et bots de trading opérant sur Injective, une blockchain de couche 1 dédiée à la finance décentralisée.

Le code malveillant se faisait passer pour un simple module d’analytics et s’accrochait aux fonctions qui transforment une phrase mnémonique ou une clé privée brute en clé de signature exploitable. À chaque appel, il enregistrait discrètement ces secrets, les regroupait pendant deux secondes, puis les envoyait vers un serveur maquillé en infrastructure légitime d’Injective. Les données volées transitaient dans un en-tête de requête, ce qui leur permettait de se fondre dans le trafic habituel.

Le processus de publication automatisée a propagé la même version empoisonnée à 17 packages connexes en quelques minutes après le premier commit malveillant, élargissant l’exposition à des équipes qui n’avaient jamais installé directement ce SDK.

Une analyse au niveau des commits a montré que la charge utile est devenue active le 8 juillet et a été retirée en moins d’une heure, remplacée rapidement par une version propre, la 1.20.23.

Le directeur général d’Injective, Eric Chen, a assuré que le problème était déjà résolu et qu’aucun fonds sur le réseau n’était menacé. Toutefois, la version compromise n’a été que « dépréciée » sur npm, et non supprimée, ce qui la rend toujours téléchargeable. Des artefacts de la build infectée demeuraient également accessibles sur GitHub au moment de la divulgation.

À lire aussi : Le moment ETF de Solana devient difficile à ignorer après le nouveau dépôt de Bitwise

Pourquoi les clés de portefeuilles crypto étaient visées

Les chercheurs qualifient la compromission de « significative pour les développeurs et applications gérant des flux de portefeuilles Injective », sans préciser si des actifs ont effectivement été dérobés. Les équipes sont invitées à considérer comme compromises toute clé ou phrase mnémonique ayant transité par les versions touchées, à migrer les fonds vers de nouveaux portefeuilles et à renouveler l’ensemble des secrets de leurs environnements.

Ce type d’attaque ne cible pas la cryptographie de la blockchain elle-même. Les intrus préfèrent empoisonner les outils de confiance utilisés par les développeurs, transformant un seul compte détourné en canal de distribution capable de toucher silencieusement des milliers d’applications en aval.

Le SDK compromis compte à lui seul 87 packages npm dépendants directs, ont signalé les analystes.

Cet épisode conclut une séquence difficile pour les outils open source de l’écosystème crypto, après une compromission similaire de versions Axios sur npm en mars, et la campagne de malware TrapDoor qui a ciblé développeurs crypto et DeFi en mai. CertiK a classé les compromissions de portefeuilles comme le vecteur d’attaque le plus coûteux du premier semestre 2026, avec 444 millions de dollars dérobés au cours de 33 incidents.

À suivre : Grok 4.5 défie OpenAI et Anthropic avec une IA agentique à moindre coût

Avertissement et avertissement sur les risques : Les informations fournies dans cet article sont à des fins éducatives et informatives uniquement et sont basées sur l'opinion de l'auteur. Elles ne constituent pas des conseils financiers, d'investissement, juridiques ou fiscaux. Les actifs de cryptomonnaie sont très volatils et sujets à des risques élevés, y compris le risque de perdre tout ou une partie substantielle de votre investissement. Le trading ou la détention d'actifs crypto peut ne pas convenir à tous les investisseurs. Les opinions exprimées dans cet article sont uniquement celles de l'auteur/des auteurs et ne représentent pas la politique officielle ou la position de Yellow, de ses fondateurs ou de ses dirigeants. Effectuez toujours vos propres recherches approfondies (D.Y.O.R.) et consultez un professionnel financier agréé avant de prendre toute décision d'investissement.
Dernières nouvelles
Voir toutes les nouvelles
Des hackers ont piégé le SDK d’Injective (50 000 téléchargements) pour dérober les phrases-seed des développeurs | Yellow.com