Schadprogramme leeren dYdX-Benutzer-Wallets

Forscher haben aufgedeckt, dass Angreifer dYdX ins Visier nehmen und Schadsoftware einsetzen, um die Wallets der Nutzer zu leeren. Laut Bericht enthielten einige Open-Source-Pakete, die in den npm- und PyPI-Repositories veröffentlicht wurden, Code, der Wallet-dentvon dYdX-Entwicklern und Backend-Systemen stahl.

dYdX ist eine dezentrale Derivatebörse , die Hunderte von Märkten für den dauerhaften Handel unterstützt. In ihrem Bericht weisen Forscher des Sicherheitsunternehmens Socket darauf hin, dass alle Anwendungen, die die kompromittierten npm-Versionen verwenden, gefährdet sind. Sie geben an, dass die Angriffe unter anderem zur vollständigen Übernahme von Wallets und zum Diebstahl von Kryptowährungen geführt haben. Betroffen sind alle Anwendungen, die von der kompromittierten Version abhängen, sowie sowohl Entwicklertests mit echten Zugangsdaten dent auch produktive Endnutzer.

Schadsoftware dringt in Wallets ein, die mit dYdX verbunden sind

Bericht zufolge sind unter anderem folgende Pakete betroffen: npm (@dydxprotocol/v4-client-js): (Versionen 3.4.1, 1.22.1, 1.15.2, 1.0.31) und PyPI (dydx-v4-client): (Version 1.1.5post1). Socket gab an, dass die Plattform seit ihrem Debüt im Bereich der dezentralen Finanzen ein Handelsvolumen von über 1,5 Billionen US-Dollar abgewickelt hat, mit einem durchschnittlichen Handelsvolumen zwischen 200 und 540 Millionen US-Dollar. Darüber hinaus verzeichnet die Plattform ein offenes Interesse von rund 175 Millionen US-Dollar.

Die Börse stellt Codebibliotheken bereit, die Drittanbieteranwendungen für Trading-Bots, automatisierte Strategien oder Backend-Dienste ermöglichen. Diese Anwendungen benötigen Mnemonics oder private Schlüssel zur Signatur. Die npm-Malware bettete eine schädliche Funktion in das legitime Paket ein. Bei der Verarbeitung einer Seed-Phrase, die die Sicherheit einer Wallet gewährleistet, kopiert die Funktion diese zusammen mit einem Fingerabdruck des Geräts, auf dem die Anwendung ausgeführt wird.

Der Fingerabdruck ermöglicht es Angreifern, gestohlenedentOpfern über mehrere Kompromittierungen hinweg zuzuordnen. Die Domain, die die Seed-Phrasen empfängt, ist dydx[.]priceoracle[.]site. Sie imitiert den legitimen dYdX-Dienst unter dydx[.]xyz durch Typosquatting. Der auf PyPI verfügbare Schadcode nutzte weiterhindentFunktion zum Diebstahl von Zugangsdaten, implementierte jedoch zusätzlich einen Remote-Access-Trojaner (RAT), der die Ausführung neuer Schadsoftware auf bereits infizierten Systemen ermöglicht.

Die Forscher stellten fest, dass die Backdoor Befehle von dydx[.]priceoracle[.]site empfing. Die Domain wurde demnach am 9. Januar erstellt und registriert, 17 Tage bevor das Schadprogramm auf PyPI hochgeladen wurde. Laut Socket läuft die RAT als Hintergrundprozess, sendet alle zehn Sekunden ein Signal an den C2-Server, empfängt Python-Code vom Server und führt diesen in einem isolierten Unterprozess ohne sichtbare Ausgabe aus. Zusätzlich verwendet sie ein fest codiertes Autorisierungstoken.

Neuer Anschlag verdeutlicht beunruhigenden Trend

Socket fügte hinzu, dass die Angreifer beliebigen Python-Code mit Benutzerrechten ausführen, SSH-Schlüssel, API- dent und Quellcode stehlen konnten. Darüber hinaus konnten sie persistente Hintertüren installieren, sensible Dateien exfiltrieren, Benutzeraktivitäten überwachen und kritische Dateien verändern. Die Forscher ergänzten, dass die Pakete über offizielle dYdX-Konten auf npm und PyPI veröffentlicht wurden, was bedeutet, dass diese kompromittiert und von den Angreifern missbraucht wurden.

Obwohl dYdX sich zu dem Vorfall noch nicht geäußert hat, ist dies mindestens der dritte Angriff auf das Unternehmen. Der vorherigedent ereignete sich im September 2022, als Schadcode in das npm-Repository hochgeladen wurde. Im Jahr 2024 wurde die dYdX-Website übernommen, nachdem die V3-Website über DNS manipuliert worden war. Nutzer wurden auf eine schädliche Website umgeleitet, die sie dazu verleitete, Transaktionen zu unterzeichnen, die darauf abzielten, ihre Wallets zu leeren.

Socket erklärte, dieser jüngste Vorfalldent ein beunruhigendes Muster: Angreifer nutzen vertrauenswürdige Vertriebskanäle, um dYdX-bezogene Ressourcen anzugreifen. Die Angreifer kompromittierten gezielt Pakete in den npm- und PyPI-Ökosystemen, um ihre Angriffsfläche zu erweitern und JavaScript- und Python-Entwickler zu erreichen, die mit der Plattform arbeiten. Jeder, der die Plattform nutzt, sollte seine Anwendungen sorgfältig auf Abhängigkeiten von den schädlichen Paketen überprüfen.

Lesen Sie Krypto-News nicht nur, sondern verstehen Sie sie. Abonnieren Sie unseren Newsletter. Er ist kostenlos .