Schimbul de criptomonede dYdX a fost ținta unui nou atac cibernetic, acesta fiind cel de-al treilea incident de acest fel. Pachetele deschise sursă publicate pe depozitele npm și PyPI au fost compromise cu coduri care furau acreditările portofelelor de la dezvoltatorii și sistemele backend dYdX și, în unele cazuri, infectau dispozitivele, conform celor afirmate de cercetătorii de la firma de securitate Socket.
“Orice aplicație care folosește versiunile compromise npm este în pericol… Impactul direct include compromiterea completă a portofelului și furtul ireversibil de criptomonede. Aria atacului cuprinde toate aplicațiile care depind de versiunile compromise, atât dezvoltatorii care testează cu acreditări reale, cât și utilizatorii finali din producție,” au explicat cercetătorii vineri.
Pachetele infectate au fost identificate ca fiind:
– npm (@dydxprotocol/v4-client-js)
dYdX este o bursă descentralizată de derivate care suportă sute de piețe pentru tranzacționarea „perpetuă”, adică utilizarea criptomonedelor pentru a paria că valoarea unui viitor derivat va crește sau va scădea. Socket a menționat că dYdX a procesat peste 1.5 trilioane de dolari în volum de tranzacționare de-a lungul existenței sale, cu un volum mediu de tranzacționare între 200 și 540 de milioane de dolari și interese deschise de aproximativ 175 milioane de dolari. Bursa oferă biblioteci de cod care permit aplicații terțe pentru roboți de tranzacționare, strategii automate sau servicii backend, toate gestionând mnemonici sau chei private pentru semnare.
Malware-ul npm a încorporat o funcție malignă în pachetul legitim. Când o frază-seed, care stă la baza securității portofelului, era procesată, funcția o extrăgea, împreună cu amprenta dispozitivului care rula aplicația. Amprenta permitea actorului amenințării să coreleze acreditările furate pentru a urmări victimele prin multiple compromisuri. Domeniul care primea seed-ul era dydx[.]priceoracle[.]site, care imita serviciul legitim dYdX la dydx[.]xyz prin typosquatting.
Codul malign disponibil pe PyPI conținea aceeași funcție de furt de acreditări, deși implementa și un troian de acces la distanță (RAT) care permitea executarea de noi malware-uri pe sistemele infectate. Backdoor-ul primea comenzi de la dydx[.]priceoracle[.]site. Domeniul a fost înregistrat pe 9 ianuarie, cu 17 zile înainte ca pachetul malign să fie încărcat pe PyPI.
Odată instalat, actorii amenințării puteau:
Socket a declarat că pachetele au fost publicate pe npm și PyPI de conturile oficiale dYdX, un indiciu că acestea au fost compromise și utilizate de atacatori. Oficialii dYdX nu au răspuns la un e-mail prin care se cerea confirmarea și detalii suplimentare.
Incidentul este cel puțin al treilea atac asupra dYdX. Evenimente anterioare includ încărcarea unui cod malign pe depozitul npm în septembrie 2022 și preluarea în 2024 a site-ului dYdX v3 prin hijacking DNS. Utilizatorii erau redirecționați către un site malign care îi solicita să semneze tranzacții concepute pentru a le goli portofelele.
Privit împreună cu compromiterea lanțului de aprovizionare npm din 2022 și incidentul de hijacking DNS din 2024, acest atac recent subliniază un model persistent de adversari care vizează dYdX.
Sursa: Ars Tehnica Technology
Poll: Care a fost impactul asupra ta a atacurilor cibernetice recente asupra schimbului de criptomonede dYdX?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply