惡意軟件包清空 dYdX 用戶錢包

研究人員發現，不法分子正以 dYdX 爲目標，利用惡意軟件包竊取其用戶錢包中的資金。報告指出，一些發佈在 npm 和 PyPi 代碼庫上的開源軟件包被植入了惡意代碼，用於竊取 dYdX 開發人員和後端系統的錢包dent。.

dYdX 是一個去中心化衍生品交易所，支持數百個永續交易市場。安全公司 Socket 的研究人員在報告中指出，所有使用被入侵 npm 版本應用程序都面臨風險。他們聲稱，攻擊的直接影響包括錢包完全被盜和加密貨幣被竊。攻擊範圍涵蓋所有依賴於被入侵版本的應用程序，包括使用真實憑證進行測試的開發者dent生產環境的最終用戶。

惡意包裹入侵與 dYdX 關聯的錢包

根據報告，部分受感染的軟件包包括 npm (@dydxprotocol/v4-client-js):(3.4.1、1.22.1、1.15.2、1.0.31 版本) 和 PyPI (dydx-v4-client):(1.1.5post1 版本)。Socket 指出，自其在去中心化金融 (DeFi) 領域亮相以來，該平臺已處理超過 1.5 萬億美元的交易量，平均交易量在 2 億至 5.4 億美元之間。此外，該平臺目前還有約 1.75 億美元的未平倉合約。

該交易所提供代碼庫，允許第三方應用程序運行交易機器人、自動化策略或後端服務，所有這些都需要使用助記詞或私鑰進行簽名。npm 惡意軟件在合法軟件包中嵌入了一個惡意函數。當處理用於保障錢包安全的助記詞時，該函數會將其與運行該應用程序的設備的指紋信息一起復制。.

指紋信息使攻擊者能夠將竊取的dent與多個入侵事件中的受害者進行匹配。接收種子短語的域名是 dydx[.]priceoracle[.]site，它通過域名搶注模仿了 dydx[.]xyz 上的合法 dYdX 服務。PyPI 上提供的惡意代碼延續了相同的dent竊取功能，但它實現了一個遠程訪問木馬 (RAT)，允許在已感染的系統上執行新的惡意軟件。.

研究人員指出，該後門程序從 dydx[.]priceoracle[.]site 接收指令，並補充說，該域名於 1 月 9 日創建並註冊，比惡意軟件包上傳到 PyPI 早 17 天。據 Socket 稱，該遠程訪問木馬 (RAT) 作爲後臺守護線程運行，每 10 秒向 C2 服務器發送一次信標，從服務器接收 Python 代碼，並在一個隔離的子進程中執行該代碼，沒有可見的輸出。此外，它還使用了一個硬編碼的授權令牌。.

新襲擊事件揭示令人不安的趨勢

Socket補充道，一旦安裝成功，攻擊者便能以用戶權限執行任意Python代碼，竊取SSH密鑰、API憑據dent源代碼。此外，他們還能安裝持久性後門、竊取敏感文件、監控用戶活動並修改關鍵文件。研究人員還指出，這些軟件包使用官方dYdX賬戶發佈到npm和PyPI，這意味着這些賬戶已被攻破並被攻擊者利用。

儘管 dYdX 尚未就此事發表聲明，但這至少是它第三次遭受攻擊。上一次dent 發生在 2022 年 9 月，當時惡意代碼被上傳到 npm 代碼庫。2024 年，dYdX 網站在 V3 網站被 DNS 劫持後遭到控制。用戶被重定向到一個惡意網站，該網站誘騙他們簽署旨在盜取其錢包資金的交易。.

Socket 聲稱，此次最新dent 凸顯了一種令人不安的模式：攻擊者利用可信分發渠道攻擊與 dYdX 相關的資產。Socket 指出，攻擊者蓄意篡改 npm 和 PyPI 生態系統中的軟件包，以擴大攻擊面，從而影響使用該平臺的 JavaScript 和 Python 開發人員。所有使用該平臺的用戶都應仔細檢查所有應用程序，確認其是否依賴於惡意軟件包。.

不要只是閱讀加密貨幣新聞，要理解它。訂閱我們的新聞簡報，完全免費。