Des chercheurs ont révélé que des individus malveillants ciblent dYdX et utilisent des logiciels malveillants pour vider les portefeuilles de ses utilisateurs. Selon le rapport, certains logiciels libres publiés sur les plateformes npm et PyPi contenaient du code permettant de voler lesdentdes portefeuilles des développeurs et des systèmes backend de dYdX.
dYdX est une plateforme d'échange qui prend en charge des centaines de marchés pour le trading continu. Dans un rapport, des chercheurs de la société de sécurité Socket ont indiqué que toutes les applications utilisant les versions npm compromises sont vulnérables. Ils ont affirmé que l'impact direct des attaques inclut le piratage complet de portefeuilles et le vol de cryptomonnaies. L'attaque affecte toutes les applications qui dépendent de la version compromise, aussi bien les environnements de test des développeurs avec de véritables identifiants dent les environnements de production.
Des paquets malveillants compromettent les portefeuilles associés à dYdX
D'après le rapport , parmi les paquets infectés figurent npm (@dydxprotocol/v4-client-js) : (versions 3.4.1, 1.22.1, 1.15.2 et 1.0.31) et PyPI (dydx-v4-client) : (version 1.1.5post1). Socket indique que la plateforme a traité un volume de transactions de plus de 1 500 milliards de dollars depuis son lancement dans le secteur de la finance décentralisée, avec un volume de transactions moyen compris entre 200 et 540 millions de dollars. Par ailleurs, la plateforme affiche un encours d'environ 175 millions de dollars.
La plateforme fournit des bibliothèques de code permettant à des applications tierces de créer des robots de trading, des stratégies automatisées ou des services backend, nécessitant toutes l'utilisation de phrases mnémoniques ou de clés privées pour la signature. Le malware npm a intégré une fonction malveillante au sein du package légitime. Lors du traitement de la phrase de récupération, qui garantit la sécurité d'un portefeuille, cette fonction la copie ainsi que l'empreinte numérique de l'appareil exécutant l'application.
L'empreinte numérique permet à l'attaquant d'associer lesdentvolés à leurs victimes, même après plusieurs compromissions. Le domaine recevant les phrases d'amorçage est dydx[.]priceoracle[.]site, qui imite le service légitime dYdX à l'adresse dydx[.]xyz par typosquatting. Le code malveillant disponible sur PyPI reprend la même fonction de vol d'dent, mais intègre un cheval de Troie d'accès à distance (RAT) permettant l'exécution de nouveaux logiciels malveillants sur des systèmes déjà infectés.
Les chercheurs ont constaté que la porte dérobée recevait des commandes du domaine dydx[.]priceoracle[.]site, précisant que ce domaine avait été créé et enregistré le 9 janvier, soit 17 jours avant la mise en ligne du package malveillant sur PyPI. Selon Socket, le RAT s'exécute en arrière-plan, communique avec le serveur de commande et de contrôle (C2) toutes les 10 secondes, reçoit du code Python du serveur et l'exécute dans un sous-processus isolé, sans résultat visible. De plus, il utilise un jeton d'autorisation codé en dur.
Une nouvelle attaque met en lumière une tendance inquiétante
Socket a ajouté qu'une fois installés, les pirates pouvaient exécuter du code Python arbitraire avec des privilèges utilisateur, voler des clés SSH, des identifiants API dent le code source. De plus, ils pouvaient installer des portes dérobées persistantes, exfiltrer des fichiers sensibles, surveiller l'activité des utilisateurs et modifier des fichiers critiques. Les chercheurs ont précisé que les paquets avaient été publiés sur npm et PyPI à l'aide de comptes dYdX officiels, ce qui signifie qu'ils avaient été compromis et utilisés par les attaquants.
Bien que dYdX n'ait pas encore publié de déclaration concernant ce problème, il s'agit au moins de la troisième fois que l'entreprise est la cible d'attaques. Le précédentdent remonte à septembre 2022, lorsqu'un code malveillant a été téléchargé sur le dépôt npm. En 2024, le site web de dYdX a été piraté après le détournement du site web V3 via DNS. Les utilisateurs étaient redirigés vers un site web malveillant les incitant à signer des transactions destinées à vider leurs portefeuilles.
Socket a affirmé que ce dernierdent met en lumière une tendance inquiétante : des adversaires ciblent les ressources liées à dYdX via des canaux de distribution de confiance. L’organisation a noté que les attaquants ont sciemment compromis des paquets dans les écosystèmes npm et PyPI afin d’étendre la surface d’attaque et d’atteindre les développeurs JavaScript et Python travaillant avec la plateforme. Toute personne utilisant la plateforme doit examiner attentivement toutes ses applications afin de détecter d’éventuelles dépendances à ces paquets malveillants.
