Ряд пакетов npm, опубликованных крупной криптовалютной биржей, были скомпрометированы и обновлены, чтобы содержать вредоносный код.
Децентрализованная биржа криптовалют (DEX) dydX сообщила в Твиттере о своем обнаружении компрометации и о том, как она действовала для решения проблемы.
«В 6:14 утра по восточному поясному времени мы обнаружили вредоносные версии, опубликованные в ряде пакетов dYdX NPM, которые были быстро удалены», — говорится в сообщении. твит (откроется в новой вкладке) читать. «Все средства в БЕЗОПАСНОСТИ, наши веб-сайты/приложения НЕ были скомпрометированы, атака НЕ затронула смарт-контракты».
Несколько пакетов, распространяющих инфостилеры
Далее, объясняя, как средства пользователей не подвергаются риску, компания сказала: «Напоминаем, что dYdX не хранит средства пользователей, которые вносятся непосредственно в смарт-контракт на блокчейне».
Исследователь кибербезопасности Мацей Менсфельд из охранной фирмы Mend and Difend.io обнаружил, что некоторые пакеты содержат код, который при запуске запускает вредоносное ПО для кражи информации. Он обнаружил три посылки, которые были угнаны для кражи личных данных. (откроется в новой вкладке) атаки.
- @dydxprotocol/solo — версии 0.41.1, 0.41.2
@dydxprotocol/perpetual — версии 1.2.2, 1.2.3
Предположительно, пакет @dydxprotocol/node-service-base-dev также был скомпрометирован, но с тех пор он был удален с платформы.
Пакеты описываются как «Умные контракты Ethereum и библиотека TypeScript, используемые для протокола dYdX Solo Trading». Как выяснилось в публикации, пакет solo используется как минимум в 44 репозиториях GitHub, созданных «несколькими криптоплатформами».
Судя по всему, злоумышленники уже не в первый раз пытаются внедрить идентичный вредоносный код в различные пакеты. Фактически, BleepingComputer утверждает, что видел код, «поразительно идентичный» этому во вредоносных пакетах Python «PyGrata», которые крали учетные данные Amazon Web Services (AWS), переменные среды, а также ключи SSH.
Репозитории кода часто становятся целью злоумышленников, которые иногда создают вредоносные версии популярных репозиториев и дают им похожие имена в надежде, что перегруженные работой/безрассудные разработчики случайно выберут не тот.
С помощью: BleepingКомпьютер (откроется в новой вкладке)
