Injective déjoue une attaque sur la chaîne d’approvisionnement npm, affirme qu’aucun fonds n’était en danger.
Crypto Scams

Injective déjoue une attaque sur la chaîne d’approvisionnement npm, affirme qu’aucun fonds n’était en danger.

Par frenchlbn

Injective indique que le problème de la chaîne d’approvisionnement npm a été résolu avant les téléchargements, sans aucun risque ni compromission des fonds des utilisateurs.

Injective a déclaré avoir résolu une compromission potentielle impliquant ses packages npm après plusieurs rapports de sécurité publics. Le projet a indiqué qu’aucun fonds d’utilisateur n’était en danger lors de l’incident.

L’équipe a indiqué que la surveillance interne a détecté le problème avant que toute version affectée du package ne soit téléchargée. Elle a ensuite supprimé les versions concernées et publié un package de remplacement propre.

Injective a déclaré que le package malveillant n’a enregistré aucun téléchargement avant d’être déprécié. Par conséquent, les développeurs utilisant le SDK du projet n’ont pas été exposés via ce package.

Cette mise à jour intervient alors que les projets cryptographiques font face à des risques croissants liés aux attaques sur la chaîne d’approvisionnement logicielle. De plus, Injective a indiqué que sa réponse a empêché l’exposition des utilisateurs avant que le problème n’atteigne la phase de production.

Injective répond aux rapports sur les packages npm

Injective a publié une déclaration publique après que des rapports ont affirmé que ses packages npm pourraient avoir été compromis. L’équipe a indiqué que le problème a été détecté via ses propres systèmes de surveillance de sécurité. Elle a également précisé que la réponse a commencé immédiatement après l’apparition de l’alerte.

Les versions affectées du package ont été dépréciées avant que les développeurs ne les téléchargent depuis le registre. Injective les a ensuite remplacées par une nouvelle version propre du package. Cette action a empêché le package suspect d’atteindre les environnements de développement actifs.

Le projet a indiqué que les utilisateurs n’avaient pas besoin de déplacer des fonds ni de prendre des mesures d’urgence. Il a également précisé qu’aucun portefeuille, solde ou application on-chain n’a été affecté. L’incident est resté limité à une menace de package logiciel bloquée.

Aucun téléchargement ni perte de fonds signalé

Injective a déclaré que le package malveillant n’avait eu aucun téléchargement avant d’être supprimé. Ce point a soutenu la déclaration du projet selon laquelle aucun fonds d’utilisateur n’a été exposé. L’équipe a également précisé qu’aucun fonds n’a été perdu lors de l’événement.

Le projet a indiqué que la tentative de compromission n’a pas atteint les systèmes on-chain d’Injective. Aucun contrat intelligent, application ou transaction utilisateur n’a été affecté par le problème de package. Cela a maintenu l’événement en dehors de l’environnement réseau en direct.

De plus, Injective a décrit l’affaire comme une tentative de chaîne d’approvisionnement via des outils de développement. Ces tentatives ciblent les packages logiciels utilisés par les développeurs et les applications. Dans ce cas, l’équipe a indiqué que la détection a eu lieu avant que les développeurs ne récupèrent la version affectée.

Lire aussi : Hausse : Un nouveau vote de gouvernance d’Injective pourrait réduire l’offre de $INJ de moitié

Injective ajoute des mesures de sécurité supplémentaires

Injective a indiqué que ses packages npm sont des outils SDK largement utilisés dans le secteur des cryptomonnaies. Pour cette raison, le projet a précisé que la sécurité des packages reste une priorité principale. L’équipe a également déclaré avoir ajouté des protections supplémentaires après l’incident.

Le projet a indiqué que les nouvelles modifications sont conçues pour empêcher la répétition de tentatives similaires. Il n’a signalé aucune menace active pour les utilisateurs après le remplacement du package. Les développeurs ont été invités à se fier à la version propre mise à jour du package.

Injective a également évoqué son bilan sur le mainnet depuis son lancement il y a près de cinq ans. Le projet a déclaré qu’aucune vulnérabilité on-chain n’a été exploitée avec succès au cours de cette période. Pour l’instant, Injective indique que le problème npm a été contenu avant que les utilisateurs ne soient exposés.

frenchlbn

À propos de l'auteur

frenchlbn

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *