Ваш торговый бот теперь работает на другого дядю. В официальных библиотеках dYdX нашли бэкдор
NewsMakerТеперь внутри кода прячется сюрприз, о котором не знают даже профи.
Аналитики Socket обнаружили целевую атаку на цепочку поставок библиотек для работы с криптобиржей dYdX. Вредоносные версии клиентских пакетов одновременно появились в репозиториях npm и PyPI после компрометации учётной записи одного из сопровождающих. Изменённые сборки использовались для кражи данных криптокошельков и скрытого запуска удалённого кода.
Команда специалистов сообщила, что подменённые пакеты относились к dYdX v4 client для JavaScript и Python. Эти инструменты применяются в торговых ботах, алгоритмических стратегиях и сервисах управления портфелями. Через них обрабатываются seed-фразы, ключи и операции подписи транзакций, поэтому такие зависимости представляют повышенную ценность для злоумышленников.
В npm были опубликованы заражённые версии @dydxprotocol/v4-client-js с номерами 1.0.31, 1.15.2, 1.22.1 и 3.4.1. В каталоге PyPI затронута версия dydx-v4-client 1.1.5post1. Вредоносный код был встроен внутрь основных файлов библиотек и выглядел как штатная логика. Публикация выполнена с легитимными правами, что указывает на захват аккаунта сопровождающего, а не на уязвимость самих репозиториев.
JavaScript вариант отправлял seed-фразы и цифровой отпечаток устройства на сторонний домен, замаскированный под инфраструктуру dYdX. Сбор отпечатка включал данные об операционной системе, имени хоста и идентификаторах машины. Ошибки передачи подавлялись, поэтому подозрительная активность не отражалась в журналах.
Аналитики Socket обнаружили целевую атаку на цепочку поставок библиотек для работы с криптобиржей dYdX. Вредоносные версии клиентских пакетов одновременно появились в репозиториях npm и PyPI после компрометации учётной записи одного из сопровождающих. Изменённые сборки использовались для кражи данных криптокошельков и скрытого запуска удалённого кода.
Команда специалистов сообщила, что подменённые пакеты относились к dYdX v4 client для JavaScript и Python. Эти инструменты применяются в торговых ботах, алгоритмических стратегиях и сервисах управления портфелями. Через них обрабатываются seed-фразы, ключи и операции подписи транзакций, поэтому такие зависимости представляют повышенную ценность для злоумышленников.
В npm были опубликованы заражённые версии @dydxprotocol/v4-client-js с номерами 1.0.31, 1.15.2, 1.22.1 и 3.4.1. В каталоге PyPI затронута версия dydx-v4-client 1.1.5post1. Вредоносный код был встроен внутрь основных файлов библиотек и выглядел как штатная логика. Публикация выполнена с легитимными правами, что указывает на захват аккаунта сопровождающего, а не на уязвимость самих репозиториев.
JavaScript вариант отправлял seed-фразы и цифровой отпечаток устройства на сторонний домен, замаскированный под инфраструктуру dYdX. Сбор отпечатка включал данные об операционной системе, имени хоста и идентификаторах машины. Ошибки передачи подавлялись, поэтому подозрительная активность не отражалась в журналах.