Các gói phần mềm độc hại nhắm vào sàn giao dịch tiền điện tử dYdX làm cạn kiệt ví người dùng.

Tác giả dinhtri 07/02/2026 12 phút đọc

Đây ít nhất là lần thứ ba cửa hàng này bị bọn trộm nhắm đến.

Nguồn ảnh: Getty Images

Các gói mã nguồn mở được công bố trên kho lưu trữ npm và PyPI chứa mã độc đánh cắp thông tin đăng nhập ví điện tử từ các nhà phát triển dYdX và hệ thống máy chủ, và trong một số trường hợp, cài đặt cửa hậu vào thiết bị, các nhà nghiên cứu cho biết.

“Mọi ứng dụng sử dụng các phiên bản npm bị xâm phạm đều có nguy cơ…”, các nhà nghiên cứu từ công ty bảo mật Socket cho biết hôm thứ Sáu . “Tác động trực tiếp bao gồm việc ví điện tử bị xâm phạm hoàn toàn và đánh cắp tiền điện tử không thể phục hồi. Phạm vi tấn công bao gồm tất cả các ứng dụng phụ thuộc vào các phiên bản bị xâm phạm, cũng như cả các nhà phát triển đang thử nghiệm với thông tin đăng nhập thực và người dùng cuối trong môi trường sản xuất.”

Các gói hàng bị nhiễm bệnh bao gồm:

npm ( @dydxprotocol/v4-client-js ):

3.4.1
1.22.1
1.15.2
1.0.31

PyPI ( dydx-v4-client ):

1.1.5post1

Giao dịch vĩnh cửu, nhắm mục tiêu vĩnh cửu

dYdX là một sàn giao dịch phái sinh phi tập trung hỗ trợ hàng trăm thị trường cho "giao dịch vĩnh cửu", hay việc sử dụng tiền điện tử để đặt cược vào sự tăng hoặc giảm giá trị của hợp đồng tương lai phái sinh. Socket cho biết dYdX đã xử lý hơn 1,5 nghìn tỷ đô la khối lượng giao dịch trong suốt thời gian hoạt động, với khối lượng giao dịch trung bình từ 200 triệu đến 540 triệu đô la và khoảng 175 triệu đô la giá trị hợp đồng mở. Sàn giao dịch này cung cấp các thư viện mã cho phép các ứng dụng của bên thứ ba dành cho bot giao dịch, chiến lược tự động hoặc dịch vụ phụ trợ, tất cả đều xử lý các cụm từ ghi nhớ hoặc khóa riêng tư để ký.

Phần mềm độc hại npm đã nhúng một hàm độc hại vào gói phần mềm hợp pháp. Khi một cụm từ hạt giống (seed phrase) dùng để bảo mật ví điện tử được xử lý, hàm này đã đánh cắp cụm từ đó, cùng với dấu vân tay của thiết bị đang chạy ứng dụng. Dấu vân tay này cho phép kẻ tấn công đối chiếu thông tin đăng nhập bị đánh cắp để theo dõi nạn nhân qua nhiều lần xâm nhập. Tên miền nhận được cụm từ hạt giống là dydx[.]priceoracle[.]site, bắt chước dịch vụ dYdX hợp pháp tại dydx[.]xyz thông qua việc chiếm đoạt tên miền bằng lỗi chính tả (typosquatting).

Mã độc có sẵn trên PyPI chứa chức năng đánh cắp thông tin đăng nhập tương tự, mặc dù nó cũng triển khai một Trojan truy cập từ xa (RAT) cho phép thực thi phần mềm độc hại mới trên các hệ thống bị nhiễm. Cửa hậu nhận lệnh từ dydx[.]priceoracle[.]site. Tên miền này được đăng ký vào ngày 9 tháng 1, 17 ngày trước khi gói phần mềm độc hại được tải lên PyPI.

Socket, kẻ chuyên gây rối trên mạng (RAT), cho biết:

Chạy như một luồng nền (daemon thread)
Gửi tín hiệu định vị đến máy chủ C2 cứ sau 10 giây.
Nhận mã Python từ máy chủ.
Thực thi nó trong một tiến trình con độc lập mà không có đầu ra hiển thị.
Sử dụng mã thông báo xác thực được mã hóa cứng: 490CD9DAD3FAE1F59521C27A96B32F5D677DD41BF1F706A0BF85E69CA6EBFE75

Sau khi cài đặt, các tác nhân đe dọa có thể:

Thực thi mã Python tùy ý với quyền người dùng
Đánh cắp khóa SSH, thông tin đăng nhập API và mã nguồn.
Cài đặt cửa hậu tồn tại lâu dài
Trích xuất các tập tin nhạy cảm
Theo dõi hoạt động của người dùng
Chỉnh sửa các tệp quan trọng
Chuyển hướng sang các hệ thống khác trên mạng.

Socket cho biết các gói phần mềm đã được đăng tải lên npm và PyPI bởi các tài khoản chính thức của dYdX, cho thấy chúng đã bị xâm phạm và sử dụng bởi những kẻ tấn công. Các quan chức của dYdX không trả lời email yêu cầu xác nhận và cung cấp thêm chi tiết.

Đây ít nhất là lần thứ ba dYdX trở thành mục tiêu tấn công. Các sự kiện trước đó bao gồm việc tải mã độc lên kho lưu trữ npm vào tháng 9 năm 2022 và việc chiếm quyền kiểm soát trang web dYdX v3 thông qua tấn công DNS vào năm 2024. Người dùng bị chuyển hướng đến một trang web độc hại, yêu cầu họ ký các giao dịch được thiết kế để rút hết tiền trong ví của họ.

“Khi so sánh với vụ xâm phạm chuỗi cung ứng npm năm 2022 và vụ tấn công chiếm quyền điều khiển DNS năm 2024, cuộc tấn công [mới nhất] này cho thấy một mô hình dai dẳng của các đối thủ nhắm mục tiêu vào các tài sản liên quan đến dYdX thông qua các kênh phân phối đáng tin cậy,” Socket cho biết. “Kẻ tấn công đã đồng thời xâm phạm các gói trong cả hệ sinh thái npm và PyPI, mở rộng bề mặt tấn công để tiếp cận các nhà phát triển JavaScript và Python đang làm việc với dYdX.”

Bất kỳ ai sử dụng nền tảng này nên kiểm tra kỹ tất cả các ứng dụng để tìm xem chúng có phụ thuộc vào các gói phần mềm độc hại được liệt kê ở trên hay không.