Pesquisadores revelaram que agentes mal-intencionados estão visando o dYdX e usando pacotes maliciosos para esvaziar as carteiras de seus usuários. De acordo com o relatório, alguns pacotes de código aberto publicados nos repositórios npm e PyPi continham código que roubavadentde carteira dos desenvolvedores e sistemas de backend do dYdX.
A dYdX é uma corretora que oferece suporte a centenas de mercados para negociação perpétua. No relatório, pesquisadores da empresa de segurança Socket mencionaram que todos os aplicativos que utilizam as versões comprometidas do npm estão em risco. Eles afirmaram que o impacto direto dos ataques inclui o comprometimento completo de carteiras e roubo de criptomoedas. O escopo do ataque abrange todos os aplicativos que dependem da versão comprometida, tanto os testes de desenvolvedores com credenciais reais dent os usuários finais em produção.
Pacotes maliciosos invadem carteiras associadas à dYdX
De acordo com o relatório , alguns dos pacotes infectados incluem npm (@dydxprotocol/v4-client-js):(versões 3.4.1, 1.22.1, 1.15.2, 1.0.31) e PyPI (dydx-v4-client): (versão 1.1.5post1). A Socket mencionou que a plataforma processou mais de US$ 1,5 trilhão em volume de negociação desde sua estreia no setor de finanças descentralizadas, com um volume médio de negociação entre US$ 200 milhões e US$ 540 milhões. Além disso, a plataforma também possui cerca de US$ 175 milhões em posições em aberto.
A plataforma de troca fornece bibliotecas de código que permitem a criação de aplicativos de terceiros para bots de negociação, estratégias automatizadas ou serviços de back-end, todos os quais envolvem frases mnemônicas ou chaves privadas para assinatura. O malware do npm incorporou uma função maliciosa no pacote legítimo. Quando uma frase mnemônica que sustenta a segurança de uma carteira é processada, a função a copia juntamente com a impressão digital do dispositivo que executa o aplicativo.
A impressão digital permite que o agente malicioso associedentroubadas a vítimas em diversas invasões. O domínio que recebe as frases-semente é dydx[.]priceoracle[.]site, que imita o serviço legítimo dYdX em dydx[.]xyz por meio de typosquatting. O código malicioso disponível no PyPI continuou a mesma função de roubo dedent, embora implemente um Trojan de acesso remoto (RAT) que permite a execução de novos malwares em sistemas já infectados.
Os pesquisadores observaram que o backdoor recebia comandos de dydx[.]priceoracle[.]site, acrescentando que o domínio foi criado e registrado em 9 de janeiro, 17 dias antes do pacote malicioso ser enviado ao PyPI. De acordo com a Socket, o RAT é executado como um daemon em segundo plano, envia sinais para o servidor C2 a cada 10 segundos, recebe código Python do servidor e o executa em um subprocesso isolado, sem nenhuma saída visível. Além disso, ele também usa um token de autorização embutido no código.
Novo ataque evidencia tendência preocupante
Socket acrescentou que, uma vez instalados, os agentes maliciosos conseguiam executar código Python arbitrário com privilégios de usuário, roubar chaves SSH, credenciais de API dent código-fonte. Além disso, também podiam instalar backdoors persistentes, exfiltrar arquivos sensíveis, monitorar a atividade do usuário e modificar arquivos críticos. Os pesquisadores acrescentaram que os pacotes foram publicados no npm e no PyPI usando contas oficiais da dYdX, o que significa que foram comprometidos e usados pelos atacantes.
Embora a dYdX ainda não tenha divulgado um comunicado sobre o assunto, esta é pelo menos a terceira vez que a plataforma é alvo de ataques. Odent anterior ocorreu em setembro de 2022, quando um código malicioso foi carregado no repositório npm. Em 2024, o site da dYdX foi invadido após o sequestro do site V3 por meio de DNS. Os usuários foram redirecionados para um site malicioso que os induzia a assinar transações destinadas a esvaziar suas carteiras.
A Socket afirmou que estedent recente destaca um padrão preocupante de adversários que visam ativos relacionados ao dYdX usando canais de distribuição confiáveis. A empresa observou que os atacantes comprometeram intencionalmente pacotes nos ecossistemas npm e PyPI para expandir a superfície de ataque e alcançar desenvolvedores de JavaScript e Python que trabalham com a plataforma. Qualquer pessoa que utilize a plataforma deve examinar cuidadosamente todos os seus aplicativos em busca de dependências dos pacotes maliciosos.
