研究人员发现,不法分子正以 dYdX 为目标,利用恶意软件包窃取其用户钱包中的资金。报告指出,一些发布在 npm 和 PyPi 代码库上的开源软件包被植入了恶意代码,用于窃取 dYdX 开发人员和后端系统的钱包dent。.
dYdX 是一个去中心化衍生品交易所,支持数百个永续交易市场。安全公司 Socket 的研究人员在报告中指出,所有使用被入侵 npm 版本应用程序都面临风险。他们声称,攻击的直接影响包括钱包完全被盗和加密货币被窃。攻击范围涵盖所有依赖于被入侵版本的应用程序,包括使用真实凭证进行测试的开发者dent生产环境的最终用户。
恶意包裹入侵与 dYdX 关联的钱包
根据报告,部分受感染的软件包包括 npm (@dydxprotocol/v4-client-js):(3.4.1、1.22.1、1.15.2、1.0.31 版本) 和 PyPI (dydx-v4-client):(1.1.5post1 版本)。Socket 指出,自其在去中心化金融 (DeFi) 领域亮相以来,该平台已处理超过 1.5 万亿美元的交易量,平均交易量在 2 亿至 5.4 亿美元之间。此外,该平台目前还有约 1.75 亿美元的未平仓合约。
该交易所提供代码库,允许第三方应用程序运行交易机器人、自动化策略或后端服务,所有这些都需要使用助记词或私钥进行签名。npm 恶意软件在合法软件包中嵌入了一个恶意函数。当处理用于保障钱包安全的助记词时,该函数会将其与运行该应用程序的设备的指纹信息一起复制。.
指纹信息使攻击者能够将窃取的dent与多个入侵事件中的受害者进行匹配。接收种子短语的域名是 dydx[.]priceoracle[.]site,它通过域名抢注模仿了 dydx[.]xyz 上的合法 dYdX 服务。PyPI 上提供的恶意代码延续了相同的dent窃取功能,但它实现了一个远程访问木马 (RAT),允许在已感染的系统上执行新的恶意软件。.
研究人员指出,该后门程序从 dydx[.]priceoracle[.]site 接收指令,并补充说,该域名于 1 月 9 日创建并注册,比恶意软件包上传到 PyPI 早 17 天。据 Socket 称,该远程访问木马 (RAT) 作为后台守护线程运行,每 10 秒向 C2 服务器发送一次信标,从服务器接收 Python 代码,并在一个隔离的子进程中执行该代码,没有可见的输出。此外,它还使用了一个硬编码的授权令牌。.
新袭击事件揭示令人不安的趋势
Socket补充道,一旦安装成功,攻击者便能以用户权限执行任意Python代码,窃取SSH密钥、API凭据dent源代码。此外,他们还能安装持久性后门、窃取敏感文件、监控用户活动并修改关键文件。研究人员还指出,这些软件包使用官方dYdX账户发布到npm和PyPI,这意味着这些账户已被攻破并被攻击者利用。
尽管 dYdX 尚未就此事发表声明,但这至少是它第三次遭受攻击。上一次dent 发生在 2022 年 9 月,当时恶意代码被上传到 npm 代码库。2024 年,dYdX 网站在 V3 网站被 DNS 劫持后遭到控制。用户被重定向到一个恶意网站,该网站诱骗他们签署旨在盗取其钱包资金的交易。.
Socket 声称,此次最新dent 凸显了一种令人不安的模式:攻击者利用可信分发渠道攻击与 dYdX 相关的资产。Socket 指出,攻击者蓄意篡改 npm 和 PyPI 生态系统中的软件包,以扩大攻击面,从而影响使用该平台的 JavaScript 和 Python 开发人员。所有使用该平台的用户都应仔细检查所有应用程序,确认其是否依赖于恶意软件包。.
