Обновление пакета опустошило криптовалютные кошельки. Биржа dYdX предупреждает пользователей. Проверьте, относится ли это и к вам

Геннадий Кривцов01 минуты
Обновление пакета опустошило криптовалютные кошельки. Биржа dYdX предупреждает пользователей. Проверьте, относится ли это и к вам

В конце января 2026 года компания Socket обнаружила серьезный инцидент безопасности, затронувший официальные пакеты криптовалютной биржи dYdX. Несколько версий библиотек, доступных в репозиториях npm и PyPI, содержали вредоносный код, перехватывающий данные доступа к кошелькам пользователей. Хотя зараженные версии были быстро удалены, любой разработчик, интегрировавший их в свое приложение, мог неосознанно подвергнуть себя и средства своих клиентов краже.

Злоумышленники в очередной раз воспользовались доверием к популярным репозиториям, установив бэкдор непосредственно в официальные пакеты криптовалютной биржи стоимостью в триллион долларов.

Мастерское вредоносное ПО для особых задач. Perfctl незаметно превращает Linux-серверы в майнеры криптовалют

27 января группа исследователей Socket выявила зараженные версии пакетов. @dydxprotocol/v4-client-js (npm) и dydx-v4-клиент (PyPI)сообщив о проблеме в dYdX на следующий день. Злоумышленники внедрили вредоносный код непосредственно в файлы основного пакета, скрывая его в таких функциях, как создатьРегистрацию() в случае npm или list_prices() для ПиПИ. Когда разработчик использовал эти функции, предоставив сид-фразы, ключи доступа к криптовалютным кошелькам, вредоносная программа немедленно отправляла их на сервер, контролируемый злоумышленником. Кроме того, были собраны отпечатки пальцев системы, содержащие MAC-адреса, имена хостов и другие идентифицирующие данные, что позволило сопоставить украденные данные с конкретными жертвами. Версия Python содержала еще более продвинутый механизм, то есть RAT (троян удаленного доступа), скрытый в 100-кратно зашифрованной полезной нагрузке. После установки пакета RAT он автоматически подключился к командному серверу dydx.priceoracle.site, ожидая выполнения команд. Это позволило злоумышленникам не только похитить данные кошелька, но и выполнить произвольный код на зараженных машинах, установить бэкдоры и получить конфиденциальные файлы. Все происходило фоном, без каких-либо видимых признаков.

Биткойн резко падает. В конце января 2026 года криптовалюта потеряла в стоимости несколько процентов

Это не первая подобная ситуация в истории dYdX. В сентябре 2022 года скомпрометированный (скомпрометированный) аккаунт npm одного из сопровождающих проекта был использован для публикации вредоносных версий пакетов, похищающих данные разработчиков, а в июле 2024 года биржа стала жертвой атаки перехвата DNS, которая перенаправляла пользователей на поддельный сайт с фишинговым доступом к кошелькам. Эта повторяющаяся картина указывает на то, что инфраструктура dYdX, биржи, общий объем торгов которой превышает 1,5 триллиона долларов, остается постоянной мишенью для киберпреступников. Эксперты по сокетам отмечают последовательную методологию злоумышленников. Идентичные механизмы кражи данных, одинаковые домены эксфильтрации и последовательные методы запутывания позволяют предположить хорошо организованную кампанию.

Майнеры криптовалют эволюционировали, теперь они превращаются в серверы искусственного интеллекта. Вьетнамский магазин собирает интересные конструкции

Более широкий контекст вызывает еще большее беспокойство. Отчет ReversingLabs за январь 2026 года показывает, что в 2025 году количество обнаружений вредоносных пакетов с открытым исходным кодом увеличится на 73 процента, причем на долю npm придется почти 90 процентов. все дела. Злоумышленники перешли от небольших нишевых проектов к проникновению в популярные, активно поддерживаемые библиотеки с миллионами загрузок в неделю. Сентябрь 2025 года вошел в историю как месяц крупнейшей атаки на цепочку поставок в npm, когда взломанные учетные записи сопровождающих позволили заразить такие пакеты, как chalk и debug, загружаемые в общей сложности более 2 миллиардов раз в неделю. В тот же период появился Shai-Hulud, первый собственный червь для репозиториев, который автоматически реплицировался через украденные токены доступа, атакуя более 1000 пакетов и 25 000 файлов. частные репозитории GitHub.

Мастерское вредоносное ПО для особых задач. Perfctl незаметно превращает Linux-серверы в майнеры криптовалют

Для конечных пользователей и разработчиков последствия очевидны. Регулярные обновления зависимостей могут стать воротами к полной потере средств. В случае приложений для управления портфелем или торговых ботов одна зараженная библиотека означает, что злоумышленники имеют доступ ко всем закрытым ключам, обрабатываемым системой. В долгосрочной перспективе мы видим снижение доверия к модели с открытым исходным кодом в ее нынешнем виде. Платформы репозиториев вводят обязательную двухфакторную аутентификацию и более строгие процедуры публикации, но это реактивные решения. Реальные изменения требуют отхода от модели «доверяй и обновляй» для постоянной проверки всей цепочки поставок программного обеспечения. От автоматического сканирования пакетов и мониторинга сетевых аномалий до изоляции критически важных операций в средах с ограниченным доступом.

Источник: Socket, ReversingLabs, Microsoft, The Hacker News, Ars Technica.

Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

Похожие новости