악성 패키지로 인해 dYdX 사용자 지갑이 비워졌습니다

연구원들은 악의적인 공격자들이 dYdX를 표적으로 삼아 악성 패키지를 이용해 사용자 지갑을 털고 있다는 사실을 밝혀냈습니다. 보고서에 따르면, npm과 PyPi 저장소에 게시된 일부 오픈 소스 패키지에 dYdX 개발자와 백엔드 시스템의 지갑dent증명을 탈취하는 코드가 포함되어 있었습니다.

dYdX는 수백 개의 무기한 거래 시장을 지원하는 탈중앙화 파생상품 거래소 . 보안 회사 Socket의 연구원들은 보고서에서 손상된 npm 버전을 사용하는 모든 애플리케이션이 위험에 처해 있다고 언급했습니다. 그들은 이번 공격으로 인해 지갑이 완전히 탈취되고 암호화폐가 도난당하는 직접적인 피해가 발생했다고 주장했습니다. 공격 범위는 손상된 버전에 의존하는 모든 애플리케이션을 포함하며, 실제 사용자 계정을 사용하는 개발자 테스트 환경과 실제 운영 환경 모두에 영향을 dent .

악성 패키지가 dYdX와 관련된 지갑을 침해했습니다

보고서 에 따르면 감염된 패키지 중에는 npm(@dydxprotocol/v4-client-js):(3.4.1, 1.22.1, 1.15.2, 1.0.31 버전)과 PyPI(dydx-v4-client):(1.1.5post1 버전)가 포함됩니다. Socket은 탈중앙화 금융 업계에 진출한 이후 1조 5천억 달러 이상의 거래량을 처리했으며, 평균 거래량은 2억 달러에서 5억 4천만 달러 사이라고 밝혔습니다. 또한, 플랫폼의 미결제 약정액은 약 1억 7천 5백만 달러에 달합니다.

해당 거래소는 타사 애플리케이션이 거래 봇, 자동화 전략 또는 백엔드 서비스를 개발할 수 있도록 코드 라이브러리를 제공하며, 이러한 모든 기능에는 서명에 필요한 니모닉이나 개인 키가 포함됩니다. npm 악성코드는 정상적인 패키지에 악성 함수를 삽입했습니다. 지갑 보안의 핵심인 시드 구문이 처리될 때, 이 함수는 해당 시드 구문과 애플리케이션을 실행하는 기기의 지문을 함께 복사합니다.

이 지문을 통해 공격자는 여러 침해 사례에서 탈취한dent증명을 피해자와 연결할 수 있습니다. 시드 구문을 수신하는 도메인은 dydx[.]priceoracle[.]site이며, 이는 타이포스쿼팅을 통해 합법적인 dYdX 서비스인 dydx[.]xyz를 모방합니다. PyPI에서 제공되는 악성 코드는 동일한dent증명 탈취 기능을 계속 수행하지만, 이미 감염된 시스템에서 새로운 악성 프로그램을 실행할 수 있는 원격 액세스 트로이목마(RAT)를 구현합니다.

연구원들은 백도어가 dydx[.]priceoracle[.]site에서 명령을 수신했다는 점을 지적하며, 해당 도메인이 악성 패키지가 PyPI에 업로드되기 17일 전인 1월 9일에 생성 및 등록되었다고 덧붙였습니다. Socket에 따르면, 이 RAT(원격 접속 트로이목마)는 백그라운드 데몬 스레드로 실행되며, 10초 간격으로 C2 서버에 신호를 보내고, 서버에서 파이썬 코드를 수신하여 눈에 보이는 출력 없이 격리된 하위 프로세스에서 실행합니다. 또한, 하드코딩된 인증 토큰을 사용합니다.

새로운 공격 사례는 우려스러운 추세를 보여줍니다

Socket은 일단 설치되면 공격자들이 사용자 권한으로 임의의 Python 코드를 실행하고, SSH 키, API 자격 증명 및 소스 코드를 탈취할 수 있다고 dent . 또한 영구적인 백도어를 설치하고, 민감한 파일을 유출하고, 사용자 활동을 모니터링하고, 중요 파일을 수정할 수도 있었습니다. 연구원들은 해당 패키지가 공식 dYdX 계정을 사용하여 npm과 PyPI에 게시되었기 때문에 공격자들이 해당 계정을 해킹하여 악용했다는 점을 지적했습니다.

dYdX는 아직 이 문제에 대한 공식 입장을 발표하지 않았지만, 이번이 최소 세 번째 공격 대상입니다. 이전dent 은 2022년 9월 npm 저장소에 악성 코드가 업로드된 사건이었고, 2024년에는 V3 웹사이트가 DNS를 통해 탈취된 후 dYdX 웹사이트가 장악당했습니다. 당시 사용자들은 악성 웹사이트로 리디렉션되어 지갑을 털기 위한 거래에 서명하도록 유도당했습니다.

Socket 측은 이번dent 이 신뢰할 수 있는 배포 채널을 이용해 dYdX 관련 자산을 공격하는 악의적인 패턴을 보여준다고 밝혔습니다. 공격자들은 플랫폼을 사용하는 자바스크립트 및 파이썬 개발자까지 공격 범위를 넓히기 위해 npm 및 PyPI 생태계의 패키지를 의도적으로 변조했다고 지적했습니다. 플랫폼 사용자는 모든 애플리케이션에서 악성 패키지에 대한 의존성이 있는지 주의 깊게 검토해야 합니다.

암호화폐 뉴스를 단순히 읽는 데 그치지 마세요. 이해하세요. 저희 뉴스레터를 구독하세요. 무료입니다 .