研究者らは、NPMおよびPyPIリポジトリで公開されたオープンソースパッケージには、dYdX開発者やバックエンドシステム、場合によってはバックドアデバイスからウォレット認証情報を盗むコードが組み込まれていたと述べた。

「感染した NPM バージョンを使用するすべてのアプリケーションが危険にさらされます…」セキュリティ企業ソケットの研究者らが金曜日に明らかにした。 「直接的な影響には、ウォレットの完全な侵害と取り返しのつかない暗号通貨の盗難が含まれます。攻撃の範囲には、侵害されたバージョンに基づくすべてのアプリケーションと、実際の認証情報を使用してアプリケーションをテストする開発者と運用エンドユーザーの両方が含まれます。」

感染したパッケージは次のとおりです。

npm (@dydxprotocol/v4-client-js):

• 3.4.1
• 1.22.1
• 1.15.2
• 1.0.31

ペピ（dydx-v4-クライアント):

持続可能なビジネス、持続可能な目標設定

dYdX は、何百もの市場をサポートする分散型デリバティブ取引所で、「永久取引」、つまりデリバティブの将来の価値が上がるか下がるかに賭けるために仮想通貨を使用する取引をサポートしています。ソケット氏によると、dYdXはこれまでの生涯で1兆5000億ドル以上の取引高を処理し、平均取引高は2億ドルから5億4000万ドル、建玉は約1億7500万ドルに上るという。この取引所は、ニーモニックや秘密鍵を処理する取引ボット、自動戦略、またはバックエンド サービス用のサードパーティ アプリが署名を実行できるようにするコード ライブラリを提供します。

NPM マルウェアは、正規のパッケージに悪意のある機能を埋め込みます。ウォレットのセキュリティの基礎となるシードフレーズが処理されると、関数はそれをアプリを実行しているデバイスのフィンガープリントとともに吐き出しました。脅威アクターはフィンガープリントを使用して、盗まれた認証情報を関連付けて、複数の侵害にわたって被害者を追跡することができました。シードを受け取ったドメインは dydx でした[.]価格オラクル[.]dydx上の正規のdYdXサービスを模倣したサイト[.]タイポスクワッティングによるxyz。