Publié le 6 février 2024 14h30. Des paquets logiciels open source, utilisés notamment par la plateforme d’échange de cryptomonnaies dYdX, ont été compromis et contenaient un code malveillant capable de voler les informations d’identification des portefeuilles numériques et d’installer des portes dérobées sur les systèmes des développeurs.
- Des versions spécifiques des paquets npm @dydxprotocol/v4-client-js (3.4.1, 1.22.1, 1.15.2, 1.0.31) et du paquet PyPI dydx-v4-client (1.1.5.post1) ont été infectées.
- Le code malveillant exfiltrait les clés privées utilisées pour sécuriser les portefeuilles et collectait des empreintes digitales des appareils des utilisateurs.
- L’attaque pourrait entraîner la compromission complète des portefeuilles et le vol irréversible de cryptomonnaies.
La société de sécurité Socket a révélé vendredi que des paquets open source, disponibles sur les référentiels npm et PyPI, avaient été modifiés pour inclure un code malveillant ciblant les utilisateurs de dYdX, une bourse décentralisée de produits dérivés. Selon Socket, « chaque application utilisant les versions npm compromises est en danger… » et l’impact direct inclut la compromission complète du portefeuille et le vol irréversible de crypto-monnaie.
dYdX permet le « trading perpétuel », une forme de spéculation sur le prix futur des cryptomonnaies. La plateforme a traité plus de 1,5 billion de dollars (1 500 milliards de dollars) de volume de transactions depuis sa création, avec un volume quotidien moyen oscillant entre 200 et 540 millions de dollars (environ 175 à 540 millions d’euros) et un montant d’intérêts ouverts d’environ 175 millions de dollars (environ 160 millions d’euros). dYdX fournit des bibliothèques de code permettant aux développeurs de créer des applications tierces, telles que des robots de trading automatisés, qui nécessitent l’accès à des mnémoniques ou des clés privées pour effectuer des transactions.
Le malware npm intégrait une fonction malveillante qui, lorsqu’elle détectait une phrase secrète utilisée pour sécuriser un portefeuille, la transmettait à un serveur contrôlé par l’attaquant. Simultanément, le code malveillant collectait une empreinte digitale de l’appareil sur lequel l’application était exécutée. Cette empreinte permettait à l’attaquant de corréler les informations d’identification volées et de suivre les victimes à travers plusieurs compromissions potentielles. Le domaine utilisé pour recevoir les données volées, dydx[.]prixoracle[.]site, est une imitation frauduleuse (typosquatting) du site officiel de dYdX, dydx[.]xyz.
Socket conseille aux développeurs de vérifier immédiatement leurs dépendances et de mettre à jour les paquets compromis vers des versions non affectées. L’entreprise souligne que les développeurs qui ont testé leurs applications avec de véritables clés privées et les utilisateurs finaux sont particulièrement vulnérables.