Hackers besmetten Injective-SDK met 50.000 wekelijkse downloads om seed phrases van ontwikkelaars te stelen

Hackers besmetten Injective-SDK met 50.000 wekelijkse downloads om seed phrases van ontwikkelaars te stelen

Hackers hebben wallet‑stelende malware verstopt in een officieel Injective‑ontwikkelpakket (INJ) dat gemiddeld 50.000 keer per week wordt gedownload. De besmette release werd 310 keer binnengehaald voordat hij snel werd opgeschoond.

Belangrijkste punten:

  • Een gemanipuleerde versie van Injectives belangrijkste TypeScript‑SDK kopieerde tijdens normaal gebruik seed phrases en privésleutels.
  • De kwaadaardige release verspreidde zich over 18 pakketten, werd 310 keer gedownload en bleef minder dan een uur online.
  • Onderzoekers stellen dat alle sleutels die via de getroffen versies zijn gebruikt, als gecompromitteerd moeten worden beschouwd.

Details over de Injective‑SDK‑backdoor

Beveiligingsbedrijf Socket maakte donderdag bekend dat versie 1.20.21 van het @injectivelabs/sdk-ts‑pakket op npm was aangepast via een gecompromitteerd bijdragersaccount op GitHub. De SDK is een essentieel bouwblok voor wallets, exchanges en tradingbots op Injective, een layer‑1‑blockchain gericht op decentralized finance.

De malafide code deed zich voor als onschuldige gebruiksstatistieken en haakte in op de functies die een seed phrase of ruwe privésleutel omzetten in een bruikbare signing key. Telkens wanneer een applicatie deze functies aanriep, registreerde de code ongemerkt de geheimen, bundelde ze gedurende twee seconden en verstuurde ze naar een server die zich voordeed als legitieme Injective‑infrastructuur. Het gestolen materiaal werd in een request‑header meegestuurd, zodat het opging in regulier netwerkverkeer.

Door geautomatiseerde publicatie werd dezelfde vergiftigde versie binnen enkele minuten na de eerste kwaadaardige commit uitgerold naar 17 verwante pakketten. Daarmee werden ook teams geraakt die de hoofd‑SDK nooit direct hadden geïnstalleerd.

Een analyse op commit‑niveau wees uit dat de payload op 8 juli live ging en binnen een uur weer werd teruggetrokken. Kort daarop verscheen schone versie 1.20.23.

Injective‑CEO Eric Chen zou hebben verklaard dat het probleem inmiddels is verholpen en dat er geen tegoeden op het netwerk in gevaar zijn. Toch werd de gecompromitteerde release op npm alleen als verouderd (deprecated) gemarkeerd in plaats van volledig verwijderd, waardoor deze formeel nog te downloaden is. Artefacten van de besmette build stonden ten tijde van de openbaarmaking ook nog op GitHub.

Lees ook: Solana’s ETF‑moment wordt moeilijker te negeren na nieuwe indiening door Bitwise

Waarom juist cryptowallet‑sleutels het doelwit waren

Onderzoekers omschreven het incident als „significant voor ontwikkelaars en applicaties die Injective‑walletflows afhandelen”, al is niet duidelijk of er daadwerkelijk tegoeden zijn buitgemaakt. Teams kregen het dringende advies om elke sleutel of mnemonic die via de getroffen versies is verwerkt als gecompromitteerd te beschouwen, fondsen over te hevelen naar nieuwe wallets en alle geheimen in hun omgevingen te roteren.

Aanvallen van dit type raken de cryptografie van een blockchain zelf niet. In plaats daarvan vergiftigen indringers de vertrouwde tooling waar ontwikkelaars op leunen, zodat één overgenomen account verandert in een distributiekanaal dat onopvallend duizenden downstream‑applicaties kan bereiken.

Alleen al het gecompromitteerde hoofd‑pakket heeft 87 andere npm‑pakketten als directe afhankelijke, zo meldden analisten.

Het incident vormt de voorlopige climax van een zware periode voor open‑source cryptotooling. Eerder dit jaar werd in maart een vergelijkbare compromise ontdekt in Axios‑npm‑releases en in mei trof de TrapDoor‑malwarecampagne tal van crypto‑ en DeFi‑ontwikkelaars. CertiK classificeerde wallet‑compromises als de duurste aanvalsvector in de eerste helft van 2026, met 444 miljoen dollar schade verspreid over 33 incidenten.

Lees hierna: Grok 4.5 daagt OpenAI en Anthropic uit met goedkopere agentic AI

Disclaimer en risicowaarschuwing: De informatie in dit artikel is uitsluitend voor educatieve en informatieve doeleinden en is gebaseerd op de mening van de auteur. Het vormt geen financieel, investerings-, juridisch of belastingadvies. Cryptocurrency-assets zijn zeer volatiel en onderhevig aan hoog risico, inclusief het risico om uw gehele of een substantieel deel van uw investering te verliezen. Het handelen in of aanhouden van crypto-assets is mogelijk niet geschikt voor alle beleggers. De meningen die in dit artikel worden geuit zijn uitsluitend die van de auteur(s) en vertegenwoordigen niet het officiële beleid of standpunt van Yellow, haar oprichters of haar leidinggevenden. Voer altijd uw eigen grondig onderzoek uit (D.Y.O.R.) en raadpleeg een gelicentieerde financiële professional voordat u een investeringsbeslissing neemt.
Hackers besmetten Injective-SDK met 50.000 wekelijkse downloads om seed phrases van ontwikkelaars te stelen | Yellow.com