Injective Labs GitHub Compromise Pushes Wallet-Key-Stealing npm Packages

1 minute de lecture

Mis à jour :

Compromission de la supply chain npm : le SDK d’Injective Labs détourné

Une attaque par compromission de la chaîne d’approvisionnement logicielle a ciblé le SDK d’Injective Labs, permettant à des acteurs malveillants d’injecter du code dans le registre npm afin de dérober des clés privées et des phrases mnémoniques de portefeuilles de cryptomonnaies.

Points clés :

  • Vecteur d’attaque : Le compte GitHub d’un contributeur de confiance a été utilisé pour soumettre des commits malveillants, validés via le pipeline de publication sécurisé (OIDC).
  • Propagation : La version compromise (@injectivelabs/sdk-ts@1.20.21) a infecté 17 autres paquets dépendants, étendant la portée de l’attaque aux utilisateurs indirects.
  • Mécanisme de vol : Le code malveillant se dissimule sous la forme d’une fonction de télémétrie légitime (trackKeyDerivation()) censée optimiser les performances. En réalité, elle intercepte et exfiltre les informations sensibles vers un serveur distant.
  • Discrétion : Le malware évite les scripts de cycle de vie (installation) pour ne pas déclencher d’alertes et regroupe les données volées pour minimiser les requêtes réseau.

Vulnérabilités :

  • CVE : Aucune CVE spécifique n’est mentionnée, car il s’agit d’une compromission de compte et d’une injection de code malveillant intentionnel (malware supply chain) plutôt que d’une faille technique logicielle.

Recommandations :

  • Mise à jour immédiate : Passer à la version saine (1.20.23) du paquet.
  • Rotation des secrets : Toute clé privée ou phrase mnémonique ayant été manipulée avec la version compromise du SDK doit être considérée comme compromise ; il est impératif de générer de nouveaux portefeuilles et de transférer les fonds.
  • Audit des dépendances : Vérifier les arbres de dépendances (y compris transitives) pour s’assurer qu’aucune version obsolète ou malveillante ne subsiste dans les environnements de développement et de production.

Source