Des hackers ont dissimulé un malware voleur de portefeuilles dans un package officiel de développement Injective (INJ), téléchargé en moyenne 50 000 fois par semaine. La version contaminée a été récupérée 310 fois avant d’être rapidement nettoyée.
Points clés :
- Une version corrompue du principal kit TypeScript d’Injective copiait phrases-seed et clés privées de portefeuilles lors d’un usage normal.
- La version malveillante s’est propagée à 18 packages, a été téléchargée 310 fois et n’est restée en ligne que moins d’une heure.
- Les chercheurs estiment que toute clé passée par les versions touchées doit être considérée comme compromise.
Détails sur la porte dérobée du SDK Injective
La société de cybersécurité Socket a révélé jeudi que la version 1.20.21 du package @injectivelabs/sdk-ts sur npm avait été modifiée via le compte GitHub compromis d’un contributeur. Ce SDK est un composant central pour les portefeuilles, plateformes d’échange et bots de trading opérant sur Injective, une blockchain de couche 1 dédiée à la finance décentralisée.
Le code malveillant se faisait passer pour un simple module d’analytics et s’accrochait aux fonctions qui transforment une phrase mnémonique ou une clé privée brute en clé de signature exploitable. À chaque appel, il enregistrait discrètement ces secrets, les regroupait pendant deux secondes, puis les envoyait vers un serveur maquillé en infrastructure légitime d’Injective. Les données volées transitaient dans un en-tête de requête, ce qui leur permettait de se fondre dans le trafic habituel.
Le processus de publication automatisée a propagé la même version empoisonnée à 17 packages connexes en quelques minutes après le premier commit malveillant, élargissant l’exposition à des équipes qui n’avaient jamais installé directement ce SDK.
Une analyse au niveau des commits a montré que la charge utile est devenue active le 8 juillet et a été retirée en moins d’une heure, remplacée rapidement par une version propre, la 1.20.23.
Le directeur général d’Injective, Eric Chen, a assuré que le problème était déjà résolu et qu’aucun fonds sur le réseau n’était menacé. Toutefois, la version compromise n’a été que « dépréciée » sur npm, et non supprimée, ce qui la rend toujours téléchargeable. Des artefacts de la build infectée demeuraient également accessibles sur GitHub au moment de la divulgation.
À lire aussi : Le moment ETF de Solana devient difficile à ignorer après le nouveau dépôt de Bitwise
Pourquoi les clés de portefeuilles crypto étaient visées
Les chercheurs qualifient la compromission de « significative pour les développeurs et applications gérant des flux de portefeuilles Injective », sans préciser si des actifs ont effectivement été dérobés. Les équipes sont invitées à considérer comme compromises toute clé ou phrase mnémonique ayant transité par les versions touchées, à migrer les fonds vers de nouveaux portefeuilles et à renouveler l’ensemble des secrets de leurs environnements.
Ce type d’attaque ne cible pas la cryptographie de la blockchain elle-même. Les intrus préfèrent empoisonner les outils de confiance utilisés par les développeurs, transformant un seul compte détourné en canal de distribution capable de toucher silencieusement des milliers d’applications en aval.
Le SDK compromis compte à lui seul 87 packages npm dépendants directs, ont signalé les analystes.
Cet épisode conclut une séquence difficile pour les outils open source de l’écosystème crypto, après une compromission similaire de versions Axios sur npm en mars, et la campagne de malware TrapDoor qui a ciblé développeurs crypto et DeFi en mai. CertiK a classé les compromissions de portefeuilles comme le vecteur d’attaque le plus coûteux du premier semestre 2026, avec 444 millions de dollars dérobés au cours de 33 incidents.
À suivre : Grok 4.5 défie OpenAI et Anthropic avec une IA agentique à moindre coût





