Le package logiciel Injective victime d'une attaque par chaîne d'approvisionnement malveillante - Détails

ambcryptoPublié le 2026-07-10Dernière mise à jour le 2026-07-10

Résumé

Une attaque par chaîne d'approvisionnement logicielle a ciblé Injective Labs. Les attaquants ont compromis un compte GitHub légitime d'un contributeur et ont publié une version malveillante du SDK TypeScript (@injectivelabs/sdk-ts v1.20.21) sur npm. Ce paquet, utilisé pour créer des portefeuilles et signer des transactions, volait les clés privées et les phrases de récupération lorsqu'il appelait certaines fonctions de génération de portefeuille. Le code malveillant, inactif à l'installation pour éviter la détection, s'est propagé via des dépendances transitives à 17 autres paquets Injective. Le paquet compromis était téléchargé environ 50 000 fois par semaine. Bien qu'une version corrigée (v1.20.23) ait été publiée, la version malveillante restait disponible. Les utilisateurs concernés doivent faire tourner leurs identifiants, créer de nouveaux portefeuilles et transférer leurs fonds.

Les attaques de la chaîne d'approvisionnement logicielle sont devenues plus courantes, les attaquants ciblant de plus en plus les outils de développement de confiance plutôt que les utilisateurs finaux.

Dans le dernier incident, des attaquants ont compromis un package logiciel de confiance d'Injective Labs pour voler les identifiants de portefeuille des développeurs.

Source : Socket

Comment l'attaque du SDK Injective s'est-elle déroulée ?

L'attaquant a téléchargé une version malveillante du SDK TypeScript, @injectivelabs/sdk-ts v1.20.21, sur npm. Le package était conçu pour créer des applications Injective, des portefeuilles et signer des transactions.

L'attaquant a ensuite obtenu l'accès au compte GitHub légitime d'un contributeur d'Injective Labs et a distribué des commits malveillants. Une branche de test était nommée "test-backdoor-check".

Sous couvert de télémétrie, l'attaquant a publié le package compromis sur npm.

Au lieu de collecter des données d'utilisation, le malware extrayait les clés privées et les phrases de récupération (mnemonic seed phrases). Cela donnait aux attaquants tout ce qui était nécessaire pour recréer et s'emparer des portefeuilles crypto des victimes.

De plus, la compromission s'est propagée via des dépendances transitives dans 17 autres packages Injective qui dépendaient de ce SDK.

La faille à l'origine de la violation

Le code malveillant restait inactif pendant l'installation, l'aidant à éviter la détection.

Au lieu de cela, il ne s'exécutait que lorsque les développeurs utilisaient les fonctions de génération de portefeuille fromMnemonic ou fromHex.

Environ 50 000 téléchargements du package compromis avaient lieu chaque semaine. Au moins 87 autres packages en dépendaient également directement.

L'attaquant a également publié 17 autres packages Injective liés ("pinned") à la version compromise du SDK, élargissant ainsi la portée de l'attaque.

Source : Socket

Quoi d'autre ?

Peu après, une version propre, la v1.20.23, a été mise à disposition. Cependant, la version compromise était toujours disponible sur npm en tant que package déprécié, et ses artefacts de publication étaient toujours disponibles sur GitHub.

Par conséquent, pour éviter d'autres incidents de ce type, les utilisateurs doivent renouveler toutes les informations d'identification impactées, créer de nouveaux portefeuilles et déplacer leurs fonds.

Cela coïncidait avec la perte de 20 millions de dollars par BonkDAO à cause d'une "proposition de gouvernance malveillante", ce qui en fait la victime la plus récente d'un piratage crypto.


Résumé final

  • Le malfaiteur a obtenu l'accès au compte GitHub légitime d'un contributeur d'Injective Labs et l'a utilisé pour distribuer des commits malveillants.
  • Les développeurs ont été rendus vulnérables par l'attaque en raison de dépendances transitives dans 17 autres packages injective.

Questions liées

QQuel a été l'élément déclencheur de l'attaque de la chaîne d'approvisionnement contre le package logiciel Injective ?

AL'attaquant a compromis le compte GitHub d'un contributeur légitime d'Injective Labs et a utilisé cet accès pour distribuer des commits malveillants et téléverser une version malveillante du SDK TypeScript sur npm.

QComment le code malveillant a-t-il réussi à éviter la détection initiale ?

ALe code malveillant est resté inactif lors de l'installation. Il ne s'exécutait que lorsque les développeurs utilisaient des fonctions spécifiques de génération de portefeuille, comme `fromMnemonic` ou `fromHex`.

QQuel était l'objectif principal du logiciel malveillant intégré dans le SDK compromis ?

ALe logiciel malveillant était conçu pour extraire les clés privées et les phrases de récupération (mnemonics) des portefeuilles des développeurs, permettant ainsi aux attaquants de recréer et de vider les portefeuilles de cryptomonnaie des victimes.

QComment l'impact de l'attaque a-t-il été amplifié au-delà du package SDK directement compromis ?

AL'impact a été amplifié via des dépendances transitives, car 17 autres packages Injective dépendaient de cette version compromise du SDK. L'attaquant a également publié 17 packages supplémentaires liés à cette version vulnérable.

QQuelles actions les utilisateurs affectés doivent-ils entreprendre pour se protéger après une telle attaque ?

ALes utilisateurs doivent : 1. Faire tourner (changer) toutes les informations d'identification impactées. 2. Créer de nouveaux portefeuilles. 3. Transférer leurs fonds vers ces nouveaux portefeuilles sécurisés.

Lectures associées

Après le départ d'Aave et la forte volatilité du TVL, sur quoi se fonde l'évaluation de MegaETH ?

Selon les dernières données de DefiLlama, le TVL total de MegaETH a connu une volatilité extrême les 9 et 10 juillet, chutant à un peu plus de 30 millions de dollars, soit une baisse de près de 60% en 24 heures. Par rapport au pic de mai, il a fondu d'environ 70%. Le protocole majeur Aave V3 a retiré environ 80% de sa liquidité dans la journée. Le prix du jeton MEGA est tombé à environ 0,048 dollar, avec une capitalisation boursière d'environ 54 millions de dollars et une valorisation entièrement diluée (FDV) d'environ 4,8 milliards de dollars. Autrefois l'une des nouvelles blockchains les plus attendues, MegaETH a vu sa valorisation atteindre environ 20 milliards de dollars lors de son pic, soutenue par une importante communauté et des investisseurs VC. Cependant, son TVL était fortement dépendant d'Aave (environ 90% à son apogée) et de stratégies de levier circulaire impliquant des stablecoins comme USDe. Ce TVL, largement motivé par des incitations et de l'arbitrage, s'est révélé très volatil. L'article souligne un décalage important entre la valorisation et les fondamentaux : avec un FDV d'environ 4,7 milliards de dollars, la blockchain ne génère que moins de 90 000 dollars de revenus mensuels réels et ne compte qu'environ 2600 adresses actives quotidiennes. De plus, la majorité des revenus provient désormais d'une application de jeu (Monster), et non des protocoles DeFi comme Aave. La communication de l'équipe et le développement de l'écosystème sont également remis en question par la communauté. En conclusion, après le retrait des capitaux spéculatifs, MegaETH manque d'un ancrage de valeur solide basé sur une utilisation réelle et une croissance organique de son écosystème. Tant que ces fondamentaux ne se matérialiseront pas, toute reprise pourrait n'être que temporaire, dictée par les sentiments du marché.

链捕手Il y a 1 h

Après le départ d'Aave et la forte volatilité du TVL, sur quoi se fonde l'évaluation de MegaETH ?

链捕手Il y a 1 h

Rapport approfondi de Goldman Sachs : Qui seront les gagnants à long terme de l'industrie des grands modèles d'IA chinois ?

**Résumé de l'article :** Selon un rapport approfondi de Goldman Sachs, l'industrie chinoise des grands modèles d'IA se trouve à un tournant historique. Les modèles ouverts/à poids libres chinois voient leurs performances se rapprocher des modèles propriétaires mondiaux de premier plan. Cette avancée est attribuée à des innovations d'architecture et à une meilleure efficacité des paramètres, permettant des coûts bien inférieurs. Le marché chinois se structure en deux niveaux : un segment haut de gamme (ex. : GLM5.2 de Zhipu, Qwen3.7 Max d'Alibaba) avec des prix environ 5 fois supérieurs à l'entrée de gamme, et un segment bas de gamme à bas prix visant les PME mondiales. Goldman Sachs prévoit une croissance massive des revenus d'API et d'abonnement d'ici 2030. La stratégie dominante d'ouverture des poids facilite le déploiement et l'itération, mais pose des défis de monétisation. La tendance devrait évoluer vers des modèles de licence communautaire avec partage des revenus. L'expansion internationale, notamment hors des États-Unis, représente le principal potentiel de croissance, portée par le passage d'une logique de maximisation des "tokens" à une priorité donnée au retour sur investissement (ROI). Pour identifier les gagnants à long terme, Goldman Sachs a développé un cadre d'analyse basé sur trois piliers : pouvoir de fixation des prix, avantage de coût et solidité financière. Dans les **modèles de texte de base**, **Zhipu AI** et **DeepSeek** (non cotés) sont positionnés comme les plus forts. Dans le domaine **multimodal/génération vidéo**, **ByteDance** (non coté) mène avec Seedance, suivi par **Kuaishou** et **MiniMax**. Goldman Sachs maintient une recommandation d'achat sur MiniMax et Kuaishou.

marsbitIl y a 1 h

Rapport approfondi de Goldman Sachs : Qui seront les gagnants à long terme de l'industrie des grands modèles d'IA chinois ?

marsbitIl y a 1 h

Rapport approfondi de Goldman Sachs : Qui seront les gagnants à long terme de l'industrie des grands modèles d'IA en Chine ?

**Résumé : Qui seront les gagnants à long terme de l'industrie chinoise des grands modèles d'IA ?** Le rapport de Goldman Sachs identifie un tournant historique pour les grands modèles d'IA chinois, dont les performances open-source rivalisent désormais avec les modèles propriétaires mondiaux de pointe. Cette évolution, caractérisée par "l'instant efficacité-coût de DeepSeek l'an dernier à l'instant intelligence du modèle GLM de Zhipu cette année", repose sur des innovations architecturales (MoE) permettant des modèles aux paramètres activés réduits (3-5%), abaissant radicalement les coûts. Le marché se structure en deux couches : un segment premium (ex: GLM5.2, Qwen3.7 Max à ~1$/M de tokens) et un segment bas coût (0.06-0.2$/M de tokens) pour les PME mondiales. Les revenus API devraient exploser, passant de 35 milliards de yuans en 2026 à 879 milliards en 2030. La stratégie open-source domine pour la flexibilité et l'adoption, mais son modèle économique évolue vers des licences communautaires avec partage de revenus pour une meilleure monétisation. L'expansion internationale, notamment hors des États-Unis, et le passage d'une logique de maximisation des tokens à une priorité au ROI sont des moteurs clés. Pour identifier les gagnants à long terme, Goldman Sachs utilise un cadre d'analyse basé sur le pouvoir de tarification, l'avantage coût et la solidité financière. * **Modèles de texte de base** : Zhipu AI (cotation initiée) et DeepSeek (non coté) sont les mieux positionnés. * **Multimodal/Génération vidéo** : ByteDance (Seed) est leader, suivi par Kuaishou (Kling) et MiniMax. La banque maintient ses recommandations d'achat sur MiniMax et Kuaishou.

链捕手Il y a 1 h

Rapport approfondi de Goldman Sachs : Qui seront les gagnants à long terme de l'industrie des grands modèles d'IA en Chine ?

链捕手Il y a 1 h

Trading

Spot
活动图片