Campania a vizat pachete open-source publicate pe registrele npm și PyPI, având ca obiectiv sustragerea acreditărilor portofelelor asociate dezvoltatorilor și sistemelor backend ale platformei dYdX. Atacurile de tip supply-chain nu sunt o noutate pe scară largă, însă combinația dintre reutilizarea codului, librării distribuite public și ecosisteme financiare descentralizate evidențiază riscurile curente. Cercetătorii firmei de securitate Socket au găsit inserții malițioase în pachete aparent legitime care, odată integrate în aplicații, retransmiteau fraze seed și un fingerprint al dispozitivului către un domeniu falsificat.
Pachetele compromise au fost identificate astfel: pe npm, @dydxprotocol/v4-client-js în versiunile 3.4.1, 1.22.1, 1.15.2 și 1.0.31; iar pe PyPI, dydx-v4-client în versiunea 1.1.5post1. Socket a avertizat că orice aplicație care depinde de aceste versiuni riscă compromiterea completă a portofelului și pierderea irecuperabilă a criptomonedelor, impactul afectând atât dezvoltatorii care testează cu credențiale reale, cât și utilizatorii finali din producție. Este o situație în care o greșeală de tipografiere sau o dependență neactualizată poate avea consecințe financiare, nu doar estetice.
dYdX este o platformă descentralizată de instrumente derivate care oferă tranzacționare perpetuală pe sute de piețe; de-a lungul istoriei a procesat tranzacții în valoare de circa 1, 5 trilioane de dolari, cu volume medii între 200 și 540 de milioane de dolari și un open interest de aproximativ 175 de milioane de dolari. Pentru astfel de platforme, dezvoltatorii pun la dispoziție librării care permit terților să construiască roboți de tranzacționare, strategii automate sau servicii backend, iar multe dintre aceste componente gestionează mnemonicile sau cheile private necesare semnării tranzacțiilor. Inserția malițioasă din pachetele npm conținea o funcție care detecta procesarea unei fraze seed, extrăgea fraza împreună cu un fingerprint al dispozitivului și le trimitea către serverul atacatorilor.
Domeniul care primea aceste date era dydx[.]priceoracle[.]site, creat pentru a imita serviciul legitim de la dydx[.]xyz printr-un truc de typo‑squatting. Fingerprint‑ul dispozitivului permitea atacatorilor să lege credențialele furate de anumite victime și să le urmărească în cazul unor compromiteri succesive, adică nu era vorba doar de o scurgere izolată, ci de posibilitatea unui profilaj persistent. În termeni practici, cine rula versiunile compromise ale librăriilor punea, fără să știe, la dispoziția atacatorilor cheia pentru a semna tranzacții și pentru a retrage fonduri.
Detectarea s-a bazat pe analiză de cod și pe observații ale traficului către domeniul suspect, iar semnalarea Socket este importantă pentru ca operatorii de pachete, dezvoltatorii de aplicații și utilizatorii finali să verifice versiunile folosite și să aplice măsuri de igienă a securității. Atacurile de tip supply‑chain exploatează avantajul încrederii: un pachet popular ajunge în multe proiecte, iar o modificare malițioasă se propagă rapid. O literă greșită într‑un domeniu poate costa mult mai mult decât un dicționar.
dydx[.]priceoracle[.]site a fost domeniul folosit pentru exfiltrare. Atacul scoate în evidență vulnerabilitățile lanțului de aprovizionare software în contextul unor volume de tranzacționare de ordinul a 1, 5 trilioane de dolari și al utilizării librăriilor pentru roboți de tranzacționare și backend. Ce măsuri crezi că ar trebui să prioritizeze dezvoltatorii și operatorii de infrastructură pentru a diminua astfel de riscuri?
Fii primul care comentează