I pacchetti open source pubblicati nei repository NPM e PPI erano dotati di codice che rubava le credenziali del portafoglio dagli sviluppatori dYdX e dai sistemi backend e, in alcuni casi, dai dispositivi backdoor, hanno detto i ricercatori.
“Ogni applicazione che utilizza versioni npm compromesse è a rischio…” Ricercatori della società di sicurezza Socket, Venerdì ha detto. “Gli impatti diretti includono la compromissione dell’intero portafoglio e il furto irreversibile di criptovaluta. La portata dell’attacco dipende dalle versioni compromesse e sia dagli sviluppatori che testano con credenziali reali che dagli utenti finali della produzione.”
I pacchetti infetti erano:
npm (@dydxprotocol/v4-client-js):
- 3.4.1
- 1.22.1
- 1.15.2
- 1.0.31
PyPI (dydx-v4-client):
Commercio eterno, obiettivo eterno
dYdX è uno scambio di derivati decentralizzato che supporta centinaia di mercati utilizzando “transazioni perpetue” o criptovalute per prevedere se un derivato aumenterà o diminuirà nel valore futuro. dYdX ha elaborato 1,5 trilioni di dollari di volume di scambi nel corso della sua vita, con un volume di scambi medio compreso tra 200 e 540 milioni di dollari e circa 175 milioni di dollari di open interest, ha affermato Sockett. L’exchange fornisce librerie di codici che consentono app di terze parti per il trading di bot, strategie automatizzate o servizi di backend, che gestiscono tutti i mnemonici o le chiavi private per la firma.
Il malware npm ha incorporato una funzione dannosa in un pacchetto valido. Quando una frase seed, che sostiene la sicurezza del portafoglio, è stata elaborata, la funzione la emette insieme a un’impronta digitale del dispositivo su cui è in esecuzione l’app. Il rilevamento delle impronte digitali consente all’autore della minaccia di collegare le credenziali rubate per tracciare le vittime attraverso molteplici compromissioni. Il dominio seed era il sito dydx(.)priceoracle(.), che impersona il servizio legittimo dYdX su dydx(.)xyz tramite typosquatting.
