Hogyan működött a támadás?
Az npm-es csomagba bújtatott kód akkor lépett akcióba, amikor a fejlesztő vagy a felhasználó begépelte a wallet seed phrase-ét, vagyis a pénztárca-helyreállító kulcsszavakat. Ezeket és az eszköz digitális ujjlenyomatát azonnal elküldte egy látszólag hivatalos, valójában hamis webcímre (dydx[.]priceoracle[.]site), amely nagyon hasonlít az eredeti dYdX szolgáltatás domainjéhez (dydx[.]xyz), de csak a csalóknak kedvez.
A PyPI-csomag hasonlóan működött, de ezen kívül egy távoli hozzáférésű trójait (RAT-et) is tartalmazott, amellyel a támadók bármilyen Python-kódot lefuttathattak a fertőzött gépeken, ellophatták a legérzékenyebb adatokat (SSH-kulcsok, API-jelszavak, forráskód), figyelhették a felhasználókat, módosíthattak vagy törölhettek kritikus fájlokat, sőt a hálózat más eszközeire is átléphettek. A trójai 10 másodpercenként kommunikált a vezérlőszerverrel, egy előre beállított engedélyezési tokennel.
Miért történhetett meg?
A fertőzött csomagokat hivatalos dYdX-fiókokból töltötték fel, így valószínű, hogy ezek a fiókok is kompromittálódtak. A támadás ismét azt bizonyítja, hogy a jól ismert disztribúciós csatornák, mint például az npm és a PyPI, már nem feltétlenül biztonságosak. Nem először történik hasonló betörés: 2022-ben ellátásilánc-támadás érte az npm-et, 2024-ben pedig hamis DNS-bejegyzések miatt irányították át a dYdX v3 felhasználóit csaló oldalakra, amelyek kiürítették a kriptotárcáikat.
Mit tegyenek a felhasználók?
Minden dYdX-felhasználónak és -fejlesztőnek sürgősen ellenőriznie kell, hogy saját alkalmazásaik használták-e a fenti fertőzött csomagokat (npm: 3.4.1, 1.22.1, 1.15.2, 1.0.31; PyPI: 1.1.5post1). Ha igen, ezeket azonnal le kell cserélni, új hitelesítő adatokat kell létrehozni, és alaposan át kell vizsgálni az informatikai rendszereket további fertőzések után kutatva.
