Binance Square
#supplychainattack

supplychainattack

8,322 vues
22 mentions
PhoenixTraderpro
·
--
LES PIRATES ONT COMPROMIS LE KIT DE DÉVELOPPEUR OFFICIEL $INJ DEVELOPER — 310 TÉLÉCHARGEMENTS ⚠️ Une version modifiée (avec porte dérobée) du SDK d’Injective s’est glissée via un compte GitHub compromis et a volé, lors d’un usage normal, des phrases mnémoniques (seed phrases) et des clés privées. La charge utile est restée en ligne moins d’une heure, s’est propagée à travers 18 paquets npm et a été récupérée 310 fois avant qu’un correctif n’arrive. Si vous — ou un projet avec lequel vous interagissez — utilisez un logiciel de portefeuille ou des bots construits sur Injective, cette fenêtre d’une heure a pu exposer des clés. Le code a discrètement enregistré des secrets et les a envoyés à un serveur conçu pour paraître légitime. Les développeurs ont été invités à considérer toutes les clés ayant touché ces versions comme compromises. Vérifiez-vous quelle version votre portefeuille ou votre bot exécute actuellement ? Ce n’est pas un conseil financier. Gérez toujours votre risque. #INJ #SecurityAlert #SupplyChainAttack #CryptoWarning ⚡
LES PIRATES ONT COMPROMIS LE KIT DE DÉVELOPPEUR OFFICIEL $INJ DEVELOPER — 310 TÉLÉCHARGEMENTS ⚠️

Une version modifiée (avec porte dérobée) du SDK d’Injective s’est glissée via un compte GitHub compromis et a volé, lors d’un usage normal, des phrases mnémoniques (seed phrases) et des clés privées. La charge utile est restée en ligne moins d’une heure, s’est propagée à travers 18 paquets npm et a été récupérée 310 fois avant qu’un correctif n’arrive.

Si vous — ou un projet avec lequel vous interagissez — utilisez un logiciel de portefeuille ou des bots construits sur Injective, cette fenêtre d’une heure a pu exposer des clés. Le code a discrètement enregistré des secrets et les a envoyés à un serveur conçu pour paraître légitime. Les développeurs ont été invités à considérer toutes les clés ayant touché ces versions comme compromises.

Vérifiez-vous quelle version votre portefeuille ou votre bot exécute actuellement ?

Ce n’est pas un conseil financier. Gérez toujours votre risque.

#INJ #SecurityAlert #SupplyChainAttack #CryptoWarning

$INJ SDK COMPROMIS — 50 000 TÉLÉCHARGEMENTS HEBDOMADAIRES TOUCHÉS ⚠️ Le package npm @injectivelabs/sdk-ts a été modifié de manière malveillante après que le compte GitHub d’un développeur a été compromis. La version 1.20.21 contient du code qui vole les clés privées des portefeuilles et les phrases mnémoniques, en les encodant vers un serveur déguisé. Avec environ 50 000 téléchargements hebdomadaires et 17 autres packages dans le même périmètre également bloqués, il s’agit d’une attaque étendue de la chaîne d’approvisionnement. Des commits suspects ont commencé le 8 juin. Avez-vous audité vos dépendances ? Ce n’est pas un conseil financier. Gérez toujours votre risque. #INJ #SupplyChainAttack #CryptoSecurity #SecurityAlert ⚠️
$INJ SDK COMPROMIS — 50 000 TÉLÉCHARGEMENTS HEBDOMADAIRES TOUCHÉS ⚠️

Le package npm @injectivelabs/sdk-ts a été modifié de manière malveillante après que le compte GitHub d’un développeur a été compromis. La version 1.20.21 contient du code qui vole les clés privées des portefeuilles et les phrases mnémoniques, en les encodant vers un serveur déguisé.

Avec environ 50 000 téléchargements hebdomadaires et 17 autres packages dans le même périmètre également bloqués, il s’agit d’une attaque étendue de la chaîne d’approvisionnement. Des commits suspects ont commencé le 8 juin. Avez-vous audité vos dépendances ?

Ce n’est pas un conseil financier. Gérez toujours votre risque.

#INJ #SupplyChainAttack #CryptoSecurity #SecurityAlert

⚠️
30 PAQUETS NPM MALVEILLANTS VISANT $ETH DÉVELOPPEURS TROUVÉS 🔥 Une attaque coordonnée de la chaîne d’approvisionnement a été mise au jour, utilisant un dépôt de bot de trading factice et un package npm à thème DeFi pour injecter un voleur d’informations JavaScript. Le périmètre inclut 30 packages malveillants, avec stake-math@3.5.4 épinglé comme dépendance dans un dépôt qui a engendré environ 2 300 forks presque identiques — un signal d’alarme clair d’automatisation. Données sensibles dans la ligne de mire : bibliothèques de portefeuilles, clés privées, mnémoniques, jetons API et identifiants de navigateur enregistrés. Si vous avez récemment exécuté npm install sur un projet lié à la DeFi ou à des bots de trading, votre environnement est peut-être déjà compromis. Auditez-vous vos dépendances aujourd’hui ? Ce n’est pas un conseil financier. Gérez toujours votre risque. #ETH #SecurityAlert #DeFi #SupplyChainAttack 🔥
30 PAQUETS NPM MALVEILLANTS VISANT $ETH DÉVELOPPEURS TROUVÉS 🔥

Une attaque coordonnée de la chaîne d’approvisionnement a été mise au jour, utilisant un dépôt de bot de trading factice et un package npm à thème DeFi pour injecter un voleur d’informations JavaScript. Le périmètre inclut 30 packages malveillants, avec stake-math@3.5.4 épinglé comme dépendance dans un dépôt qui a engendré environ 2 300 forks presque identiques — un signal d’alarme clair d’automatisation.

Données sensibles dans la ligne de mire : bibliothèques de portefeuilles, clés privées, mnémoniques, jetons API et identifiants de navigateur enregistrés. Si vous avez récemment exécuté npm install sur un projet lié à la DeFi ou à des bots de trading, votre environnement est peut-être déjà compromis. Auditez-vous vos dépendances aujourd’hui ?

Ce n’est pas un conseil financier. Gérez toujours votre risque.

#ETH #SecurityAlert #DeFi #SupplyChainAttack

🔥
Vendeur Polymarket Compromis — Des attaquants ont dérobé 2,9M$ des portefeuilles Une attaque par compromission de la chaîne d’approvisionnement a touché Polymarket ce week-end. Un script malveillant injecté dans le front-end a siphonné environ 2,9 millions de dollars avant que l’équipe ne le mette hors ligne. Il ne s’agit pas d’une exploitation de contrat intelligent. Les attaquants ont ciblé la chaîne d’approvisionnement logicielle de Polymarket plutôt que l’infrastructure de base. Les attaques par chaîne d’approvisionnement se dissimulent dans du code de confiance provenant de prestataires tiers, ce qui les rend plus difficiles à détecter. Polymarket a confirmé que tous les utilisateurs concernés recevront un remboursement intégral. L’équipe a isolé la brèche rapidement. Mais l’incident met en lumière la manière dont les plateformes qui s’appuient sur des services externes exposent des surfaces d’attaque au-delà des contrats intelligents. Les marchés de prédiction ont attiré énormément l’attention cette année. Cette brèche teste la capacité des plateformes à préserver la confiance à mesure qu’elles se développent. Les audits de sécurité des dépendances tierces pourraient devoir devenir une pratique standard. Les plateformes décentralisées devraient-elles auditer leurs dépendances logicielles de manière plus agressive ? L’industrie observe la situation. $BTC $ETH $SOL #Polymarket #SupplyChainAttack #Crypto
Vendeur Polymarket Compromis — Des attaquants ont dérobé 2,9M$ des portefeuilles

Une attaque par compromission de la chaîne d’approvisionnement a touché Polymarket ce week-end. Un script malveillant injecté dans le front-end a siphonné environ 2,9 millions de dollars avant que l’équipe ne le mette hors ligne.

Il ne s’agit pas d’une exploitation de contrat intelligent. Les attaquants ont ciblé la chaîne d’approvisionnement logicielle de Polymarket plutôt que l’infrastructure de base. Les attaques par chaîne d’approvisionnement se dissimulent dans du code de confiance provenant de prestataires tiers, ce qui les rend plus difficiles à détecter.

Polymarket a confirmé que tous les utilisateurs concernés recevront un remboursement intégral. L’équipe a isolé la brèche rapidement. Mais l’incident met en lumière la manière dont les plateformes qui s’appuient sur des services externes exposent des surfaces d’attaque au-delà des contrats intelligents.

Les marchés de prédiction ont attiré énormément l’attention cette année. Cette brèche teste la capacité des plateformes à préserver la confiance à mesure qu’elles se développent. Les audits de sécurité des dépendances tierces pourraient devoir devenir une pratique standard.

Les plateformes décentralisées devraient-elles auditer leurs dépendances logicielles de manière plus agressive ? L’industrie observe la situation. $BTC $ETH $SOL
#Polymarket #SupplyChainAttack #Crypto
$INJ NPM PACKAGE HACK — 50K TELECHARGEMENTS HEBDOMADAIRES COMPROMIS 🔥 La version malveillante 1.20.21 de injectivelabs/sdk-ts vole des clés privées et des phrases de récupération. Le compte GitHub du développeur a été compromis dans une attaque classique de type supply chain visant les développeurs. Avec environ 50 000 téléchargements par semaine, il ne s’agit pas d’un incident à petite échelle. Si vous ou votre équipe avez interagi avec ce package depuis le 8 juin, changez vos clés immédiatement. Injective a réagi rapidement, mais l’écosystème npm présente encore des lacunes. Vérifiez-vous vos dépendances pour repérer d’éventuelles mises à jour malveillantes ? Ceci n’est pas un conseil financier. Gérez toujours votre risque. #INJ #SecurityAlert #SupplyChainAttack #CryptoNews #Web3 ⚡
$INJ NPM PACKAGE HACK — 50K TELECHARGEMENTS HEBDOMADAIRES COMPROMIS 🔥

La version malveillante 1.20.21 de injectivelabs/sdk-ts vole des clés privées et des phrases de récupération. Le compte GitHub du développeur a été compromis dans une attaque classique de type supply chain visant les développeurs. Avec environ 50 000 téléchargements par semaine, il ne s’agit pas d’un incident à petite échelle. Si vous ou votre équipe avez interagi avec ce package depuis le 8 juin, changez vos clés immédiatement.

Injective a réagi rapidement, mais l’écosystème npm présente encore des lacunes. Vérifiez-vous vos dépendances pour repérer d’éventuelles mises à jour malveillantes ?

Ceci n’est pas un conseil financier. Gérez toujours votre risque.

#INJ #SecurityAlert #SupplyChainAttack #CryptoNews #Web3

$INJ SDK BACKDOOR – 310 TÉLÉCHARGEMENTS DE CODE MALVEILLANT AVANT LE CORRECTIF 🔥 Une version contaminée du package TypeScript principal d’Injective a été en ligne pendant moins d’une heure sur npm, exfiltrant silencieusement des phrases mnémoniques de portefeuille et des clés privées. La version malveillante s’est propagée à travers 18 packages et a été téléchargée 310 fois avant d’être retirée. Un cabinet de sécurité, Socket, a confirmé que la compromission provenait d’un compte GitHub contributeur piraté. Le code malveillant se faisait passer pour de l’analytique et envoyait les clés volées à un serveur imitant l’infrastructure légitime d’Injective. Toute clé ayant transité par la version 1.20.21 doit être considérée comme compromise. Vos projets utilisent-ils le package @injectivelabs/sdk-ts concerné ? Ce n’est pas un conseil financier. Gérez toujours vos risques. #INJ #SecurityAlert #CryptoAlert #WalletSafety #SupplyChainAttack 🔥
$INJ SDK BACKDOOR – 310 TÉLÉCHARGEMENTS DE CODE MALVEILLANT AVANT LE CORRECTIF 🔥

Une version contaminée du package TypeScript principal d’Injective a été en ligne pendant moins d’une heure sur npm, exfiltrant silencieusement des phrases mnémoniques de portefeuille et des clés privées. La version malveillante s’est propagée à travers 18 packages et a été téléchargée 310 fois avant d’être retirée.

Un cabinet de sécurité, Socket, a confirmé que la compromission provenait d’un compte GitHub contributeur piraté. Le code malveillant se faisait passer pour de l’analytique et envoyait les clés volées à un serveur imitant l’infrastructure légitime d’Injective. Toute clé ayant transité par la version 1.20.21 doit être considérée comme compromise.

Vos projets utilisent-ils le package @injectivelabs/sdk-ts concerné ?

Ce n’est pas un conseil financier. Gérez toujours vos risques.

#INJ #SecurityAlert #CryptoAlert #WalletSafety #SupplyChainAttack

🔥
Connectez-vous pour découvrir plus de contenu
Rejoignez la communauté mondiale des adeptes de cryptomonnaies sur Binance Square
⚡️ Suviez les dernières informations importantes sur les cryptomonnaies.
💬 Jugé digne de confiance par la plus grande plateforme d’échange de cryptomonnaies au monde.
👍 Découvrez les connaissances que partagent les créateurs vérifiés.
Adresse e-mail/Nº de téléphone