Paketi otvorenog koda objavljeni na npm i PyPI repozitorijima sadržavali su kod koji je krao vjerodajnice novčanika od dYdX programera i backend sustava, a u nekim slučajevima su inficirali uređaje, tvrde istraživači. “Svaka aplikacija koja koristi kompromitirane npm verzije je u opasnosti…,” rekli su istraživači iz sigurnosne tvrtke Socket. “Izravni utjecaj uključuje potpunu kompromitaciju novčanika i nepovratnu krađu kriptovaluta. Opseg napada uključuje sve aplikacije koje ovise o kompromitiranim verzijama, kao i programere koji testiraju s pravim vjerodajnicama i krajnje korisnike u produkciji.”
Paketi koji su bili zaraženi su:
- npm (@dydxprotocol/v4-client-js):
- 3.4.1
- 1.22.1
- 1.15.2
- 1.0.31
- PyPI (dydx-v4-client):
- 1.1.5post1
dYdX je decentralizirana burza derivativa koja podržava stotine tržišta za “perpetual trading”, ili korištenje kriptovaluta za klađenje na to hoće li vrijednost budućeg derivata rasti ili padati. Socket je izvijestio da je dYdX tijekom svog postojanja obradio više od 1,5 trilijuna dolara u trgovačkom volumenu, s prosječnim trgovačkim volumenom od 200 milijuna do 540 milijuna dolara i otprilike 175 milijuna dolara u otvorenom interesu. Burza pruža knjižnice koda koje omogućuju aplikacijama trećih strana za trgovačke robote, automatizirane strategije ili backend usluge, a sve od njih upravljaju mnemotečkim izrazima ili privatnim ključevima za potpisivanje.
Npm malware je ugrađivao zloćudnu funkciju u legitimni paket. Kada je procesuirana fraza sjemena koja osigurava sigurnost novčanika, funkcija je iznijela tu frazu, zajedno s otiskom uređaja koji pokreće aplikaciju. Otisak uređaja omogućio je napadaču da poveže ukradene vjerodajnice i prati žrtve kroz više kompromitacija. Domen koja je primila sjeme bila je dydx[.]priceoracle[.]site, koja oponaša legitimnu dYdX uslugu na dydx[.]xyz kroz typosquatting.
