Los paquetes maliciosos vacían las billeteras de los usuarios de dYdX

Investigadores han revelado que actores maliciosos están atacando dYdX y utilizando paquetes maliciosos para vaciar las billeteras de sus usuarios. Según el informe, algunos paquetes de código abierto publicados en los repositorios npm y PyPi contenían código que robabadentde billetera a los desarrolladores y sistemas backend de dYdX.

dYdX es una plataforma de intercambio que admite cientos de mercados para el comercio continuo. En el informe, investigadores de la firma de seguridad Socket mencionaron que todas las aplicaciones que utilizan las versiones de npm comprometidas están en riesgo. Afirmaron que el impacto directo de los ataques ha incluido la vulnerabilidad total de la billetera y el robo de criptomonedas. El alcance del ataque incluye todas las aplicaciones que dependen de la versión comprometida, así como las pruebas de desarrolladores con credenciales reales dent los usuarios finales de producción.

Paquetes maliciosos violan las billeteras asociadas con dYdX

Según el informe , algunos de los paquetes infectados incluyen npm (@dydxprotocol/v4-client-js): (versiones 3.4.1, 1.22.1, 1.15.2 y 1.0.31) y PyPI (dydx-v4-client): (versión 1.1.5post1). Socket mencionó que la plataforma ha procesado más de 1,5 billones de dólares en volumen de operaciones desde su debut en el sector de las finanzas descentralizadas, con un volumen promedio de operaciones de entre 200 y 540 millones de dólares. Además, la plataforma también tiene un interés abierto de aproximadamente 175 millones de dólares.

El exchange proporciona bibliotecas de código que permiten que aplicaciones de terceros utilicen bots de trading, estrategias automatizadas o servicios de backend, todos los cuales requieren mnemónicos o claves privadas para la firma. El malware npm incorporó una función maliciosa en el paquete legítimo. Cuando se procesa una frase semilla que respalda la seguridad de una billetera, la función la copia junto con la huella digital del dispositivo que ejecuta la aplicación.

La huella digital permite al actor de amenazas relacionar lasdentrobadas con las víctimas en varias vulnerabilidades. El dominio que recibe las frases semilla es dydx[.]priceoracle[.]site, que imita el servicio legítimo dYdX en dydx[.]xyz mediante typosquatting. El código malicioso disponible en PyPI continuó con la misma función de robodent, aunque implementa un troyano de acceso remoto (RAT) que permite la ejecución de nuevo malware en sistemas ya infectados.

Los investigadores observaron que la puerta trasera recibía comandos de dydx[.]priceoracle[.]site, y añadieron que el dominio se creó y registró el 9 de enero, 17 días antes de que el paquete malicioso se subiera a PyPI. Según Socket, el RAT se ejecuta como un hilo demonio en segundo plano, envía señales al servidor C2 cada 10 segundos, recibe código Python del servidor y lo ejecuta en un subproceso aislado sin salida visible. Además, utiliza un token de autorización predefinido.

Un nuevo ataque muestra una tendencia preocupante

Socket añadió que, una vez instalados, los actores de amenazas pudieron ejecutar código Python arbitrario con privilegios de usuario, robar claves SSH, credenciales de API dent código fuente. Además, pudieron instalar puertas traseras persistentes, exfiltrar archivos confidenciales, monitorear la actividad del usuario y modificar archivos críticos. Los investigadores añadieron que los paquetes se publicaron en npm y PyPI mediante cuentas oficiales de dYdX, lo que significa que fueron comprometidos y utilizados por los atacantes.

Aunque dYdX aún no ha publicado una declaración sobre el problema, esta es al menos la tercera vez que ha sido blanco de ataques. Eldent anterior ocurrió en septiembre de 2022, cuando se subió un código malicioso al repositorio npm. En 2024, el sitio web de dYdX fue interceptado tras el secuestro del sitio web V3 a través de DNS. Los usuarios fueron redirigidos a un sitio web malicioso que los instaba a firmar transacciones diseñadas para vaciar sus billeteras.

Socket afirmó que este últimodent pone de manifiesto un patrón preocupante de ataques de adversarios contra activos relacionados con dYdX mediante canales de distribución confiables. Señaló que los atacantes comprometieron deliberadamente paquetes en los ecosistemas npm y PyPI para ampliar la superficie de ataque y llegar a los desarrolladores de JavaScript y Python que trabajan con la plataforma. Cualquier usuario de la plataforma debe examinar cuidadosamente todas sus aplicaciones para detectar dependencias de los paquetes maliciosos.

No te limites a leer noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis .