
npm 및 PyPI 리포지토리에 게시된 오픈 소스 패키지에는 dYdX 개발자 및 백엔드 시스템, 경우에 따라 백도어 장치에서 지갑 자격 증명을 훔치는 코드가 포함되어 있다고 연구진은 말했습니다.
“손상된 npm 버전을 사용하는 모든 애플리케이션이 위험에 처해 있습니다….” 보안 회사인 소켓(Socket)의 연구원들은 금요일에 말했습니다. “직접적인 영향에는 완전한 지갑 손상과 되돌릴 수 없는 암호화폐 도난이 포함됩니다. 공격 범위에는 손상된 버전에 따른 모든 애플리케이션과 실제 자격 증명을 사용하여 테스트하는 개발자와 프로덕션 최종 사용자가 모두 포함됩니다.”
감염된 패키지는 다음과 같습니다.
npm (@dydxprotocol/v4-client-js):
- 3.4.1
- 1.22.1
- 1.15.2
- 1.0.31
PyPI(dydx-v4-클라이언트):
영구 거래, 영구 타겟팅
dYdX는 “영구 거래” 또는 파생 상품 선물의 가치 상승 또는 하락에 베팅하기 위한 암호화폐 사용을 위한 수백 개의 시장을 지원하는 분산형 파생 상품 거래소입니다. 소켓에 따르면 dYdX는 평생 동안 1조 5천억 달러 이상의 거래량을 처리했으며, 평균 거래량은 2억 달러에서 5억 4천만 달러, 미결제약정 규모는 약 1억 7,500만 달러에 달합니다. 거래소는 서명을 위한 니모닉 또는 개인 키를 처리하는 거래 봇, 자동화된 전략 또는 백엔드 서비스를 위한 타사 앱을 허용하는 코드 라이브러리를 제공합니다.
npm 악성코드는 합법적인 패키지에 악성 기능을 내장했습니다. 지갑 보안을 뒷받침하는 시드 문구를 처리하면 앱을 실행하는 기기의 지문과 함께 이를 추출하는 기능이 있었습니다. 지문을 통해 위협 행위자는 훔친 자격 증명의 상관 관계를 파악하여 여러 침해 사례에서 피해자를 추적할 수 있었습니다. 시드를 수신한 도메인은 dydx(.)priceoracle(.)site였으며, 이는 타이포스쿼팅을 통해 dydx(.)xyz의 합법적인 dYdX 서비스를 모방했습니다.