Forskare sa att paket med öppen källkod publicerade på npm- och PyPI-förråd innehöll kod som stal plånboksuppgifter från dYdX-utvecklare, backend-system och i vissa fall bakdörrsenheter.
”Alla applikationer som använder en komprometterad npm-version är i riskzonen…” sa forskare från säkerhetsföretaget Socket på fredagen. ”Den omedelbara påverkan inkluderar en fullständig kompromiss av plånboken och oåterkallelig stöld av kryptovaluta. Attackomfånget inkluderar alla applikationer beroende på den komprometterade versionen, och inkluderar både utvecklare och produktionsslutanvändare som testar med riktiga referenser.”
De infekterade paketen är:
npm (@dydxprotocol/v4-client-js):
3.4.1
1.22.1
1.15.2
1.0.31
PyPI (dydx-v4-klient):
Permanent handel, permanent inriktning
dYdX är en decentraliserad derivatbörs som stödjer hundratals marknader för att använda kryptovalutor för ”perpetual trading”, eller vadslagning om huruvida derivatterminer kommer att stiga eller falla i värde. Socket sa att dYdX har behandlat mer än 1,5 biljoner dollar i handelsvolym, med en genomsnittlig handelsvolym som sträcker sig från 200 miljoner dollar till 540 miljoner dollar och en öppen ränta på cirka 175 miljoner dollar. Utbytet tillhandahåller kodbibliotek som möjliggör tredjepartsappar för handel med bots, automatiserade strategier eller backend-tjänster, som alla hanterar signeringsminnen och privata nycklar.
npm malware bäddar in skadlig funktionalitet i legitima paket. När fröfrasen som underbygger plånbokens säkerhet har bearbetats, exfiltrerade funktionen fröfrasen tillsammans med fingeravtrycket från enheten som kör appen. Med hjälp av fingeravtryck kunde hotaktörer associera stulna referenser och spåra offer genom flera intrång. Domänen som tar emot fröet är dydx(.)priceoracle(.)site, som efterliknar den legitima dYdX-tjänsten på dydx(.)xyz genom typosquatting.
