I ricercatori hanno rivelato che i malintenzionati stanno prendendo di mira dYdX e utilizzano pacchetti dannosi per svuotare i portafogli degli utenti. Secondo il rapporto, alcuni pacchetti open source pubblicati sui repository npm e PyPi erano infettati con codice che rubava ledentdei portafogli degli sviluppatori e dei sistemi backend di dYdX.
dYdX è un exchange che supporta centinaia di mercati per il trading perpetuo. Nel rapporto, i ricercatori della società di sicurezza Socket hanno affermato che tutte le applicazioni che utilizzano le versioni compromesse di npm sono a rischio. Hanno affermato che l'impatto diretto degli attacchi ha incluso la compromissione completa del portafoglio e il furto di criptovalute. L'ambito dell'attacco include tutte le applicazioni che dipendono dalla versione compromessa, sia i test degli sviluppatori con credenziali reali dent gli utenti finali in produzione.
I pacchetti dannosi violano i portafogli associati a dYdX
Secondo il rapporto , alcuni dei pacchetti infettati includono npm (@dydxprotocol/v4-client-js): (versioni 3.4.1, 1.22.1, 1.15.2, 1.0.31) e PyPI (dydx-v4-client): (versione 1.1.5post1). Socket ha affermato che la piattaforma ha elaborato un volume di scambi di oltre 1,5 trilioni di dollari dal suo debutto nel settore della finanza decentralizzata, con un volume medio di scambi compreso tra 200 e 540 milioni di dollari. Inoltre, la piattaforma ha anche circa 175 milioni di dollari di interessi aperti.
L'exchange fornisce librerie di codice che consentono ad applicazioni di terze parti di gestire bot di trading, strategie automatizzate o servizi backend, tutti basati su mnemonici o chiavi private per la firma. Il malware npm ha incorporato una funzione dannosa nel pacchetto legittimo. Quando viene elaborata una seed phrase che protegge la sicurezza di un wallet, la funzione la copia insieme all'impronta digitale del dispositivo che esegue l'applicazione.
L'impronta digitale consente all'autore della minaccia di abbinare ledentrubate alle vittime attraverso diverse compromissioni. Il dominio che riceve le frasi seed è dydx[.]priceoracle[.]site, che imita il servizio dYdX legittimo su dydx[.]xyz tramite typosquatting. Il codice dannoso disponibile su PyPI ha continuato la stessa funzione di furto dident, sebbene implementi un Trojan di accesso remoto (RAT) che consente l'esecuzione di nuovo malware su sistemi già infetti.
I ricercatori hanno osservato che la backdoor riceveva comandi da dydx[.]priceoracle[.]site, aggiungendo che il dominio era stato creato e registrato il 9 gennaio, 17 giorni prima che il pacchetto dannoso fosse caricato su PyPI. Secondo Socket, il RAT viene eseguito come thread demone in background, invia segnali al server C2 a intervalli di 10 secondi, riceve codice Python dal server e lo esegue in un sottoprocesso isolato senza output visibile. Inoltre, utilizza anche un token di autorizzazione hard-coded.
Un nuovo attacco mostra una tendenza inquietante
Socket ha aggiunto che, una volta installati, gli autori della minaccia erano in grado di eseguire codice Python arbitrario con privilegi utente, rubare chiavi SSH, credenziali API dent codice sorgente. Inoltre, potevano anche installare backdoor persistenti, esfiltrare file sensibili, monitorare l'attività degli utenti e modificare file critici. I ricercatori hanno aggiunto che i pacchetti venivano pubblicati su npm e PyPI utilizzando account dYdX ufficiali, il che significava che erano stati compromessi e utilizzati dagli aggressori.
Sebbene dYdX non abbia ancora rilasciato una dichiarazione in merito al problema, questa è almeno la terza volta che viene preso di mira da attacchi. Il precedentedent si è verificato nel settembre 2022, quando un codice dannoso è stato caricato nel repository npm. Nel 2024, il sito web di dYdX è stato preso di mira dopo che il sito web V3 è stato dirottato tramite DNS. Gli utenti sono stati reindirizzati a un sito web dannoso che li ha indotti a firmare transazioni progettate per prosciugare i loro wallet.
Socket ha affermato che questo ultimodent evidenzia un inquietante schema di attacchi da parte di avversari che prendono di mira risorse correlate a dYdX utilizzando canali di distribuzione affidabili. Ha osservato che gli aggressori hanno consapevolmente compromesso pacchetti negli ecosistemi npm e PyPI per espandere la superficie di attacco e raggiungere gli sviluppatori JavaScript e Python che lavorano con la piattaforma. Chiunque utilizzi la piattaforma dovrebbe esaminare attentamente tutte le applicazioni per individuare eventuali dipendenze dai pacchetti dannosi.
