Default
Door Remote - 10 Jul 2026
Hackers hebben een veelgebruikt Injective-softwarepakket gecompromitteerd tijdens een supply chain-aanval met malware die is ontworpen om privésleutels van crypto-portemonnees te stelen, wat bijdraagt aan een groeiende aanvalsvector waarbij aanvallers legitieme platforms gebruiken om kwaadaardige ladingen af te leveren.
Beveiligingsbedrijf Socket ontdekte donderdag dat een populair npm-pakket (node package manager) met ongeveer 50.000 wekelijkse downloads, gebruikt voor het bouwen op de Injective-blockchain, kwaadwillig werd aangepast om privésleutels en zaadzinnen van portemonnees te stelen.
Het grote aantal downloads maakt het incident “belangrijk voor ontwikkelaars en applicaties die de workflows van Injective Wallet afhandelen”, aldus Socket-onderzoekers. De kwaadaardige code is inmiddels verwijderd.
De software supply chain-aanval is een relatief nieuwe aanvalsvector waarbij hackers zich niet rechtstreeks richten op de cryptografie of slimme contracten van een blockchain, maar in plaats daarvan vertrouwde ontwikkelaarstools in gevaar brengen die worden gebruikt om portemonnees, uitwisselingen en apps te bouwen.
Injectief is een interoperabele laag 1 ontworpen voor DeFi-toepassingen. Het gebruik ervan is de afgelopen twee jaar afgenomen, waarbij de totale waarde die is vergrendeld met 88% is gedaald tot het huidige niveau van $8,2 miljoen, vergeleken met de piek van $71 miljoen medio 2024, aldus DefiLlama.
Het in het geheim kopiëren van privésleutels en zinnen Versie 1.20.21 van het @injectivelabs/sdk-ts npm-pakket werd gewijzigd via een gecompromitteerd GitHub-ontwikkelaarsaccount, met verdachte commits vanaf 8 juni. Het werd ook vastgezet in 17 andere pakketten in het npm-bereik van Injective Labs, "waardoor gebruikers werden blootgelegd die de SDK [software development kit] mogelijk niet rechtstreeks hadden geïnstalleerd", aldus Socket.
“De kwaadaardige release maakt gebruik van functies voor het afleiden van portemonneesleutels, registreert privésleutels en geheugensteuntjes en exfiltreert ze via nep-telemetrie”, legt Socket uit.
De kwaadaardige code sloot zich aan bij de normale functies die werden gebruikt om portefeuillesleutels te genereren, en telkens wanneer de app van een ontwikkelaar deze functies gebruikte, kopieerde deze in het geheim de zaadzin of de privésleutel. De aangetaste gegevens werden vervolgens gecodeerd en naar een webadres gestuurd dat leek op een legitieme Injective-netwerkserver.
“Alle sleutels of geheugensteuntjes die via getroffen pakketten worden doorgegeven, moeten als gecompromitteerd worden behandeld”, voegde Socket eraan toe.
Gerelateerd: ‘TrapDoor’-malware richt zich op crypto-ontwikkeltools bij aanvallen op de toeleveringsketen
Socket meldde dat de ontwikkelaar wiens account was geïnfiltreerd de inbreuk snel ontdekte, maar dat de malware meer dan 300 keer was gedownload en dat “de campagne zelf nog niet volledig onder controle is.”
CEO van Injective, Eric Chen, zei: “Het is al opgelost en de getroffen versies op npm zijn al verouderd.” Er zijn geen fondsen op het netwerk in gevaar, voegde hij eraan toe, en Socket heeft niet gespecificeerd of er bij het incident geld is gestolen.
Het gecompromitteerde npm-pakket werd 310 keer gedownload. Bron: Socket
Wallet-compromissen het duurst dit jaar De Security Alliance (SEAL) zei in haar dreigingsrapport over het tweede kwartaal dat aanvallers steeds vaker legitieme platforms zoals GitHub, npm en Google gebruiken om payloads te leveren.
“In sommige gevallen worden gecompromitteerde systemen gebruikt om kwaadaardige code rechtstreeks naar de eigen GitHub-opslagplaatsen van een bedrijf te pushen, waardoor een enkel compromis wordt omgezet in een distributiekanaal voor de volgende.” SEAL voegde eraan toe dat de malware zelf ook uitgebreider is geworden, “met cross-platform payloads, waaronder een toename van macOS-specifieke campagnes, die infostealers, RAT’s (remote access trojans) en backdoor-mogelijkheden in één pakket combineren.”
Een soortgelijke supply chain-aanval trof Axios npm-releases in maart, terwijl in mei een malwarecampagne genaamd TrapDoor werd ontdekt die zich richtte op crypto-, DeFi-, AI- en beveiligingsontwikkelaars.
GitHub zelf werd op 20 mei uitgebuit toen het ongeoorloofde toegang tot zijn interne opslagplaatsen rapporteerde na de inbraak van het apparaat van een werknemer.
Het compromitteren van portemonnees was de duurste aanvalsvector in de eerste helft van 2026, waarbij 444 miljoen dollar werd gestolen bij 33 incidenten, meldde CertiK maandag.
Kenmerken: Het kwantumdilemma van Bitcoin: grotere blokken of STARK-bewijzen?
Beveiligingsbedrijf Socket ontdekte donderdag dat een populair npm-pakket (node package manager) met ongeveer 50.000 wekelijkse downloads, gebruikt voor het bouwen op de Injective-blockchain, kwaadwillig werd aangepast om privésleutels en zaadzinnen van portemonnees te stelen.
Het grote aantal downloads maakt het incident “belangrijk voor ontwikkelaars en applicaties die de workflows van Injective Wallet afhandelen”, aldus Socket-onderzoekers. De kwaadaardige code is inmiddels verwijderd.
De software supply chain-aanval is een relatief nieuwe aanvalsvector waarbij hackers zich niet rechtstreeks richten op de cryptografie of slimme contracten van een blockchain, maar in plaats daarvan vertrouwde ontwikkelaarstools in gevaar brengen die worden gebruikt om portemonnees, uitwisselingen en apps te bouwen.
Injectief is een interoperabele laag 1 ontworpen voor DeFi-toepassingen. Het gebruik ervan is de afgelopen twee jaar afgenomen, waarbij de totale waarde die is vergrendeld met 88% is gedaald tot het huidige niveau van $8,2 miljoen, vergeleken met de piek van $71 miljoen medio 2024, aldus DefiLlama.
Het in het geheim kopiëren van privésleutels en zinnen Versie 1.20.21 van het @injectivelabs/sdk-ts npm-pakket werd gewijzigd via een gecompromitteerd GitHub-ontwikkelaarsaccount, met verdachte commits vanaf 8 juni. Het werd ook vastgezet in 17 andere pakketten in het npm-bereik van Injective Labs, "waardoor gebruikers werden blootgelegd die de SDK [software development kit] mogelijk niet rechtstreeks hadden geïnstalleerd", aldus Socket.
“De kwaadaardige release maakt gebruik van functies voor het afleiden van portemonneesleutels, registreert privésleutels en geheugensteuntjes en exfiltreert ze via nep-telemetrie”, legt Socket uit.
De kwaadaardige code sloot zich aan bij de normale functies die werden gebruikt om portefeuillesleutels te genereren, en telkens wanneer de app van een ontwikkelaar deze functies gebruikte, kopieerde deze in het geheim de zaadzin of de privésleutel. De aangetaste gegevens werden vervolgens gecodeerd en naar een webadres gestuurd dat leek op een legitieme Injective-netwerkserver.
“Alle sleutels of geheugensteuntjes die via getroffen pakketten worden doorgegeven, moeten als gecompromitteerd worden behandeld”, voegde Socket eraan toe.
Gerelateerd: ‘TrapDoor’-malware richt zich op crypto-ontwikkeltools bij aanvallen op de toeleveringsketen
Socket meldde dat de ontwikkelaar wiens account was geïnfiltreerd de inbreuk snel ontdekte, maar dat de malware meer dan 300 keer was gedownload en dat “de campagne zelf nog niet volledig onder controle is.”
CEO van Injective, Eric Chen, zei: “Het is al opgelost en de getroffen versies op npm zijn al verouderd.” Er zijn geen fondsen op het netwerk in gevaar, voegde hij eraan toe, en Socket heeft niet gespecificeerd of er bij het incident geld is gestolen.
Het gecompromitteerde npm-pakket werd 310 keer gedownload. Bron: Socket
Wallet-compromissen het duurst dit jaar De Security Alliance (SEAL) zei in haar dreigingsrapport over het tweede kwartaal dat aanvallers steeds vaker legitieme platforms zoals GitHub, npm en Google gebruiken om payloads te leveren.
“In sommige gevallen worden gecompromitteerde systemen gebruikt om kwaadaardige code rechtstreeks naar de eigen GitHub-opslagplaatsen van een bedrijf te pushen, waardoor een enkel compromis wordt omgezet in een distributiekanaal voor de volgende.” SEAL voegde eraan toe dat de malware zelf ook uitgebreider is geworden, “met cross-platform payloads, waaronder een toename van macOS-specifieke campagnes, die infostealers, RAT’s (remote access trojans) en backdoor-mogelijkheden in één pakket combineren.”
Een soortgelijke supply chain-aanval trof Axios npm-releases in maart, terwijl in mei een malwarecampagne genaamd TrapDoor werd ontdekt die zich richtte op crypto-, DeFi-, AI- en beveiligingsontwikkelaars.
GitHub zelf werd op 20 mei uitgebuit toen het ongeoorloofde toegang tot zijn interne opslagplaatsen rapporteerde na de inbraak van het apparaat van een werknemer.
Het compromitteren van portemonnees was de duurste aanvalsvector in de eerste helft van 2026, waarbij 444 miljoen dollar werd gestolen bij 33 incidenten, meldde CertiK maandag.
Kenmerken: Het kwantumdilemma van Bitcoin: grotere blokken of STARK-bewijzen?

