恶意软件包清空 dYdX 用户钱包

研究人员发现，不法分子正以 dYdX 为目标，利用恶意软件包窃取其用户钱包中的资金。报告指出，一些发布在 npm 和 PyPi 代码库上的开源软件包被植入了恶意代码，用于窃取 dYdX 开发人员和后端系统的钱包dent。.

dYdX 是一个去中心化衍生品交易所，支持数百个永续交易市场。安全公司 Socket 的研究人员在报告中指出，所有使用被入侵 npm 版本应用程序都面临风险。他们声称，攻击的直接影响包括钱包完全被盗和加密货币被窃。攻击范围涵盖所有依赖于被入侵版本的应用程序，包括使用真实凭证进行测试的开发者dent生产环境的最终用户。

恶意包裹入侵与 dYdX 关联的钱包

根据报告，部分受感染的软件包包括 npm (@dydxprotocol/v4-client-js):(3.4.1、1.22.1、1.15.2、1.0.31 版本) 和 PyPI (dydx-v4-client):(1.1.5post1 版本)。Socket 指出，自其在去中心化金融 (DeFi) 领域亮相以来，该平台已处理超过 1.5 万亿美元的交易量，平均交易量在 2 亿至 5.4 亿美元之间。此外，该平台目前还有约 1.75 亿美元的未平仓合约。

该交易所提供代码库，允许第三方应用程序运行交易机器人、自动化策略或后端服务，所有这些都需要使用助记词或私钥进行签名。npm 恶意软件在合法软件包中嵌入了一个恶意函数。当处理用于保障钱包安全的助记词时，该函数会将其与运行该应用程序的设备的指纹信息一起复制。.

指纹信息使攻击者能够将窃取的dent与多个入侵事件中的受害者进行匹配。接收种子短语的域名是 dydx[.]priceoracle[.]site，它通过域名抢注模仿了 dydx[.]xyz 上的合法 dYdX 服务。PyPI 上提供的恶意代码延续了相同的dent窃取功能，但它实现了一个远程访问木马 (RAT)，允许在已感染的系统上执行新的恶意软件。.

研究人员指出，该后门程序从 dydx[.]priceoracle[.]site 接收指令，并补充说，该域名于 1 月 9 日创建并注册，比恶意软件包上传到 PyPI 早 17 天。据 Socket 称，该远程访问木马 (RAT) 作为后台守护线程运行，每 10 秒向 C2 服务器发送一次信标，从服务器接收 Python 代码，并在一个隔离的子进程中执行该代码，没有可见的输出。此外，它还使用了一个硬编码的授权令牌。.

新袭击事件揭示令人不安的趋势

Socket补充道，一旦安装成功，攻击者便能以用户权限执行任意Python代码，窃取SSH密钥、API凭据dent源代码。此外，他们还能安装持久性后门、窃取敏感文件、监控用户活动并修改关键文件。研究人员还指出，这些软件包使用官方dYdX账户发布到npm和PyPI，这意味着这些账户已被攻破并被攻击者利用。

尽管 dYdX 尚未就此事发表声明，但这至少是它第三次遭受攻击。上一次dent 发生在 2022 年 9 月，当时恶意代码被上传到 npm 代码库。2024 年，dYdX 网站在 V3 网站被 DNS 劫持后遭到控制。用户被重定向到一个恶意网站，该网站诱骗他们签署旨在盗取其钱包资金的交易。.

Socket 声称，此次最新dent 凸显了一种令人不安的模式：攻击者利用可信分发渠道攻击与 dYdX 相关的资产。Socket 指出，攻击者蓄意篡改 npm 和 PyPI 生态系统中的软件包，以扩大攻击面，从而影响使用该平台的 JavaScript 和 Python 开发人员。所有使用该平台的用户都应仔细检查所有应用程序，确认其是否依赖于恶意软件包。.

不要只是阅读加密货币新闻，要理解它。订阅我们的新闻简报，完全免费。