Hackers hebben wallet‑stelende malware verstopt in een officiële Injective (INJ)‑ontwikkelaarskit op npm, een pakket dat gemiddeld 50.000 keer per week wordt gedownload. De besmette release werd 310 keer binnengehaald voordat hij in allerijl werd opgeschoond.
Belangrijkste punten:
- Een besmette versie van Injective’s belangrijkste TypeScript‑SDK kopieerde tijdens normaal gebruik wallet‑seed phrases en private keys.
- De malafide release verspreidde zich over 18 pakketten, werd 310 keer gedownload en bleef minder dan een uur live.
- Onderzoekers stellen dat alle sleutels die door de getroffen versies zijn gegaan, als gecompromitteerd moeten worden beschouwd.
Details van de Injective‑SDK‑backdoor
Securitybedrijf Socket maakte donderdag bekend dat versie 1.20.21 van het npm‑pakket @injectivelabs/sdk-ts was aangepast via een gecompromitteerd bijdragersaccount op GitHub. De SDK is een kerncomponent voor wallets, beurzen en tradingbots op Injective, een layer‑1‑blockchain die is gericht op decentralized finance.
De schadelijke code deed zich voor als onschuldige gebruiksstatistieken en haakte in op de functies die een seed phrase of ruwe private key omzetten in een bruikbare signing key. Telkens wanneer een applicatie die functies aanriep, legde de code de geheime gegevens stilletjes vast, bundelde ze gedurende twee seconden en verstuurde ze naar een server die zich voordeed als legitieme Injective‑infrastructuur. Het buitgemaakte materiaal werd in een request‑header meegestuurd, waardoor het opging in normaal netwerkverkeer.
Door automatische publicatie werd dezelfde vergiftigde versie binnen enkele minuten na de eerste malafide commit doorgezet naar 17 gerelateerde pakketten, waardoor ook teams werden geraakt die de hoofd‑SDK nooit direct installeerden.
Een analyse op commit‑niveau toonde aan dat de payload op 8 juli live ging en binnen een uur werd teruggetrokken, waarna snel een opgeschoonde versie 1.20.23 volgde.
Injective‑CEO Eric Chen verklaarde volgens berichten dat het probleem inmiddels is opgelost en dat er geen fondsen op het netwerk in gevaar zijn. Toch is de gecompromitteerde release op npm alleen als verouderd gemarkeerd en niet volledig verwijderd, waardoor hij in principe nog te downloaden is. Ook build‑artefacten van de besmette versie stonden ten tijde van de openbaarmaking nog op GitHub.
Lees ook: Solana’s ETF‑moment wordt moeilijk te negeren na nieuwe aanvraag van Bitwise
Waarom privésleutels van crypto‑wallets het doelwit waren
Onderzoekers noemen het incident “significant voor ontwikkelaars en applicaties die Injective‑walletflows afhandelen”, al is niet duidelijk of daadwerkelijk assets zijn buitgemaakt. Teams kregen het dringende advies om elke sleutel of mnemonic die met de getroffen versies in aanraking is geweest als gecompromitteerd te behandelen, fondsen naar nieuwe wallets te verplaatsen en alle secrets in hun omgevingen te roteren.
Aanvallen van dit type raken de cryptografie van een blockchain zelf niet. In plaats daarvan worden vertrouwde ontwikkeltools vergiftigd, waardoor één overgenomen account verandert in een distributiekanaal dat geruisloos duizenden downstream‑applicaties kan bereiken.
Alleen al de gecompromitteerde hoofd‑SDK heeft 87 andere npm‑pakketten als directe afhankelijkheden, zo melden analisten.
Het incident vormt de voorlopig laatste episode in een zware periode voor open‑source cryptotools. Eerder dit jaar werd een vergelijkbare supply‑chain‑aanval ontdekt op Axios‑releases op npm in maart en de TrapDoor‑malwarecampagne, die in mei ontwikkelaars in de crypto‑ en DeFi‑sector trof. CertiK classificeerde wallet‑compromises als de kostbaarste aanvalsvector van de eerste helft van 2026, met 444 miljoen dollar schade over 33 incidenten.
Lees verder: Grok 4.5 daagt OpenAI en Anthropic uit met goedkopere agentic AI





