dYdX стал мишенью для вредоносных программ, которые опустошают кошельки пользователей

Исследователи выявили, что злоумышленники атакуют dYdX и используют вредоносные пакеты для опустошения кошельков пользователей. Согласно отчету, некоторые пакеты с открытым исходным кодом, опубликованные в репозиториях npm и PyPi, содержали код, который похищалdentданные кошельков у разработчиков dYdX и из бэкэнд-систем.

dYdX — это децентрализованная биржа , поддерживающая сотни рынков для бессрочной торговли. В отчете исследователи из компании Socket, занимающейся вопросами безопасности, упомянули, что все приложения, использующие скомпрометированные версии npm, находятся под угрозой. Они заявили, что прямым последствием атак стали полная компрометация кошельков и кража криптовалюты. Атака затронула все приложения, зависящие от скомпрометированной версии, как для разработчиков, тестирующих ее с реальными учетнымиdent, так и для конечных пользователей в производственной среде.

Вредоносные программы взломали кошельки, связанные с dYdX

Согласно отчету, среди зараженных пакетов оказались npm (@dydxprotocol/v4-client-js):(версии 3.4.1, 1.22.1, 1.15.2, 1.0.31) и PyPI (dydx-v4-client): (версия 1.1.5post1). Socket упомянул, что с момента своего дебюта в индустрии децентрализованных финансов платформа обработала торговые операции на сумму более 1,5 триллиона долларов, при этом средний объем торгов составлял от 200 до 540 миллионов долларов. Кроме того, платформа имеет открытый интерес на сумму около 175 миллионов долларов.

Биржа предоставляет библиотеки кода, позволяющие создавать сторонние приложения для торговых ботов, автоматизированных стратегий или бэкэнд-сервисов, все из которых используют мнемоники или закрытые ключи для подписи. Вредоносное ПО npm внедрило вредоносную функцию в легитимный пакет. При обработке сид-фразы, лежащей в основе безопасности кошелька, функция копирует её вместе с отпечатком устройства, на котором запущено приложение.

Отпечаток пальца позволяет злоумышленнику сопоставлять украденныеdentданные с жертвами в результате нескольких взломов. Домен, получающий сид-фразы, — dydx[.]priceoracle[.]site, который имитирует легитимный сервис dYdX по адресу dydx[.]xyz с помощью тайпосквоттинга. Вредоносный код, доступный на PyPI, продолжает ту же функцию кражиdentданных, хотя и реализует троян удаленного доступа (RAT), который позволяет запускать новое вредоносное ПО на уже зараженных системах.

Исследователи отметили, что бэкдор получал команды от dydx[.]priceoracle[.]site, добавив, что домен был создан и зарегистрирован 9 января, за 17 дней до загрузки вредоносного пакета в PyPI. По данным Socket, RAT работает как фоновый поток-демон, отправляет сигналы на сервер C2 с интервалом в 10 секунд, получает от сервера код на Python и выполняет его в изолированном подпроцессе без видимого вывода. Кроме того, он также использует жестко закодированный токен авторизации.

Новая атака демонстрирует тревожную тенденцию

Сокет добавил, что после установки злоумышленники смогли выполнять произвольный код на Python с правами пользователя, красть ключи SSH, учетныеdentи исходный код. Кроме того, они могли устанавливать постоянные бэкдоры, похищать конфиденциальные файлы, отслеживать активность пользователей и изменять критически важные файлы. Исследователи добавили, что пакеты были опубликованы в npm и PyPI с использованием официальных учетных записей dYdX, что означало, что они были скомпрометированы и использованы злоумышленниками.

Хотя dYdX пока не опубликовала заявление по этому поводу, это как минимум третий случай, когда компания становится объектом атак. Предыдущийdent произошел в сентябре 2022 года, когда вредоносный код был загружен в репозиторий npm. В 2024 году веб-сайт dYdX был захвачен после того, как веб-сайт V3 был взломан через DNS. Пользователи были перенаправлены на вредоносный веб-сайт, который предлагал им подписать транзакции, предназначенные для опустошения их кошельков.

Компания Socket заявила, что этот последнийdent выявляет тревожную тенденцию: злоумышленники атакуют ресурсы, связанные с dYdX, используя доверенные каналы распространения. Отмечается, что злоумышленники сознательно скомпрометировали пакеты в экосистемах npm и PyPI, чтобы расширить поверхность атаки и добраться до разработчиков на JavaScript и Python, работающих с платформой. Всем, кто использует платформу, следует тщательно проверять все приложения на наличие зависимостей от вредоносных пакетов.