كشف باحثون أن جهات خبيثة تستهدف منصة dYdX وتستخدم برامج ضارة لسرقة أموال مستخدميها. ووفقًا للتقرير، فإن بعض حزم البرامج مفتوحة المصدر المنشورة على مستودعات npm وPyPi تحتوي على شيفرة برمجية تسرق بياناتdentمحافظ المستخدمين من مطوري dYdX وأنظمة الواجهة الخلفية.
منصة تداول مشتقات لامركزية تدعم مئات الأسواق للتداول الدائم. في تقريرٍ لها، ذكرت باحثات من شركة الأمن السيبراني Socket أن جميع التطبيقات التي تستخدم إصدارات npm المخترقة مُعرّضة للخطر. وأكدت الباحثات أن التأثير المباشر للهجمات شمل اختراقًا كاملًا للمحافظ الرقمية وسرقة العملات الرقمية. ويشمل نطاق الهجوم جميع التطبيقات التي تعتمد على الإصدار المخترق، سواءً تلك التي يستخدمها المطورون في اختباراتهم ببيانات اعتماد حقيقية dent تلك التي يستخدمها المستخدمون النهائيون في بيئات الإنتاج.
تسببت حزم خبيثة في اختراق محافظ مرتبطة بـ dYdX
بحسب التقرير ، تشمل بعض الحزم المصابة npm (@dydxprotocol/v4-client-js): (الإصدارات 3.4.1، 1.22.1، 1.15.2، 1.0.31) وPyPI (dydx-v4-client): (الإصدار 1.1.5post1). وأشارت منصة Socket إلى أنها عالجت حجم تداول يتجاوز 1.5 تريليون دولار منذ انطلاقها في قطاع التمويل اللامركزي، بمتوسط حجم تداول يتراوح بين 200 مليون و540 مليون دولار. كما يبلغ حجم التداول المفتوح للمنصة حوالي 175 مليون دولار.
توفر منصة التداول مكتبات برمجية تُمكّن تطبيقات الطرف الثالث من استخدام روبوتات التداول، والاستراتيجيات الآلية، وخدمات الواجهة الخلفية، وكلها تعتمد على عبارات الاستعادة أو المفاتيح الخاصة للتوقيع. وقد زرع برنامج npm الخبيث وظيفةً ضارةً في الحزمة الأصلية. عند معالجة عبارة الاستعادة التي تُشكّل أساس أمان المحفظة، يقوم البرنامج بنسخها مع بصمة الجهاز الذي يُشغّل التطبيق.
تُمكّن بصمة الجهاز المهاجم من مطابقة بياناتdentالمسروقة مع الضحايا عبر عدة اختراقات. النطاق الذي يستقبل عبارات الاسترداد هو dydx[.]priceoracle[.]site، والذي يُحاكي خدمة dYdX الشرعية على dydx[.]xyz من خلال انتحال أسماء النطاقات. استمر الكود الخبيث المتوفر على PyPI في تنفيذ نفس وظيفة سرقة بياناتdent، على الرغم من أنه يُنفذ حصان طروادة للوصول عن بُعد (RAT) يسمح بتشغيل برامج خبيثة جديدة على الأنظمة المصابة بالفعل.
لاحظ الباحثون أن الباب الخلفي يتلقى أوامر من النطاق dydx[.]priceoracle[.]site، مضيفين أن النطاق أُنشئ وسُجّل في 9 يناير، أي قبل 17 يومًا من تحميل الحزمة الخبيثة إلى PyPI. ووفقًا لشركة Socket، يعمل برنامج التحكم عن بُعد (RAT) كعملية خلفية، ويرسل إشارات إلى خادم التحكم والسيطرة (C2) كل 10 ثوانٍ، ويتلقى شيفرة بايثون من الخادم، وينفذها في عملية فرعية معزولة دون أي مخرجات مرئية. إضافةً إلى ذلك، يستخدم البرنامج رمز تفويض مُضمّن في الشيفرة.
هجوم جديد يكشف عن اتجاه مقلق
أضافت شركة Socket أنه بمجرد تثبيت البرنامج الخبيث، المهاجمون من تنفيذ تعليمات برمجية بلغة بايثون بصلاحيات المستخدم، وسرقة مفاتيح SSH، dent ، وشفرة المصدر. كما تمكنوا من تثبيت أبواب خلفية دائمة، واستخراج ملفات حساسة، ومراقبة نشاط المستخدم، وتعديل ملفات بالغة الأهمية. وأوضح الباحثون أن الحزم البرمجية نُشرت على منصتي npm وPyPI باستخدام حسابات dYdX الرسمية، مما يعني أنها كانت مخترقة واستُخدمت من قبل المهاجمين.
رغم أن شركة dYdX لم تصدر بيانًا رسميًا بشأن هذه المشكلة، إلا أن هذه هي المرة الثالثة على الأقل التي تتعرض فيها لهجمات إلكترونية. وقعتdent السابقة في سبتمبر 2022 عندما تم تحميل شيفرة خبيثة إلى مستودع npm. وفي عام 2024، تم اختراق موقع dYdX الإلكتروني بعد اختراق موقع V3 عبر نظام أسماء النطاقات (DNS). وتم توجيه المستخدمين إلى موقع إلكتروني خبيث يحثهم على توقيع معاملات مصممة لسحب أموالهم.
زعمت شركة سوكيت أن هذاdent الأخير يُسلط الضوء على نمط مُقلق لاستهداف المُهاجمين للأصول المُتعلقة بمنصة dYdX باستخدام قنوات توزيع موثوقة. وأشارت إلى أن المُهاجمين قاموا عمدًا باختراق حزم في بيئتي npm وPyPI لتوسيع نطاق الهجوم والوصول إلى مُطوري JavaScript وPython الذين يعملون على المنصة. لذا، ينبغي على جميع مُستخدمي المنصة فحص جميع تطبيقاتهم بدقة للتأكد من عدم اعتمادها على الحزم الخبيثة.
