Các nhà nghiên cứu cho biết các gói nguồn mở được xuất bản trên kho lưu trữ npm và PyPI có chứa mã đánh cắp thông tin xác thực ví từ các nhà phát triển dYdX và hệ thống phụ trợ, và trong một số trường hợp là các thiết bị cửa sau.
“Mọi ứng dụng sử dụng phiên bản npm bị xâm phạm đều gặp rủi ro ....” các nhà nghiên cứu, từ công ty bảo mật Socket, cho biết hôm thứ Sáu. “Tác động trực tiếp bao gồm thỏa hiệp ví hoàn toàn và trộm cắp tiền điện tử không thể đảo ngược. Phạm vi tấn công bao gồm tất cả các ứng dụng tùy thuộc vào phiên bản bị xâm phạm và cả nhà phát triển đều thử nghiệm bằng thông tin xác thực và người dùng cuối sản xuất.”
Các gói hàng bị nhiễm bệnh là:
npm (@dydxprotocol/v4-client-js):
- 3.4.1
- 1.22.1
- 1.15.2
- 1.0.31
PyPI (dydx-v4-khách hàng):
- 1.1.5bài viết1
Giao dịch vĩnh viễn, nhắm mục tiêu vĩnh viễn
dYdX là một sàn giao dịch phái sinh phi tập trung hỗ trợ hàng trăm thị trường cho giao dịch vĩnh viễn “,” hoặc sử dụng tiền điện tử để đặt cược rằng giá trị của một tương lai phái sinh sẽ tăng hoặc giảm. Socket cho biết dYdX đã xử lý khối lượng giao dịch hơn 1,5 nghìn tỷ USD trong suốt thời gian tồn tại của mình, với khối lượng giao dịch trung bình từ 200 triệu đến 540 triệu USD và khoảng 175 triệu USD lãi suất mở. Sàn giao dịch cung cấp các thư viện mã cho phép các ứng dụng của bên thứ ba để giao dịch bot, chiến lược tự động hoặc dịch vụ phụ trợ, tất cả đều xử lý ghi nhớ hoặc khóa riêng để ký.
Phần mềm độc hại npm đã nhúng một chức năng độc hại vào gói hợp pháp. Khi một cụm từ hạt giống làm nền tảng cho bảo mật ví được xử lý, chức năng này sẽ lấy ra khỏi nó, cùng với dấu vân tay của thiết bị chạy ứng dụng. Dấu vân tay cho phép tác nhân đe dọa tương quan với thông tin xác thực bị đánh cắp để theo dõi nạn nhân qua nhiều lần thỏa hiệp. Miền nhận hạt giống là dydx[.]priceoracle[.]site, bắt chước dịch vụ dYdX hợp pháp tại dydx[.]xyz thông qua typosquatting.
