🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram um novo ataque à cadeia de suprimentos no qual pacotes legítimos no npm e no repositório Python Package Index (PyPI) foram comprometidos para enviar versões maliciosas para facilitar o roubo de credenciais de carteira e a execução remota de código.
As versões comprometidas dos dois pacotes estão listadas abaixo –
@dydxprotocol/v4-client-js (npm) - 3.4.1, 1.22.1, 1.15.2, 1.0.31
dydx-v4-client (PyPI) - 1.1.5post1
“Os pacotes @dydxprotocol/v4-client-js (npm) e dydx-v4-client (PyPI) fornecem aos desenvolvedores ferramentas para interagir com o protocolo dYdX v4, incluindo assinatura de transações, colocação de pedidos e gerenciamento de carteira”, observou o pesquisador de segurança do Socket, Kush Pandya. “Aplicativos que usam esses pacotes lidam com operações confidenciais de criptomoeda.”
dYdX é uma bolsa de criptomoedas descentralizada e sem custódia para margem de negociação e swaps perpétuos, ao mesmo tempo que permite aos usuários manter controle total sobre seus ativos. Em seu site, a bolsa DeFi afirma ter ultrapassado US$ 1,5 trilhão em volume acumulado de negociações.
Embora atualmente seja assim que essas atualizações envenenadas foram enviadas, suspeita-se que seja um caso de comprometimento da conta do desenvolvedor, já que as versões não autorizadas foram publicadas usando credenciais de publicação legítimas.
Descobriu-se que as mudanças introduzidas pelos atores da ameaça visam os ecossistemas JavaScript e Python com cargas úteis diferentes. No caso do npm, o código malicioso atua como um ladrão de carteiras de criptomoedas que extrai frases iniciais e informações do dispositivo. O pacote Python, por outro lado, também incorpora um trojan de acesso remoto (RAT) junto com a funcionalidade de ladrão de carteira.
O componente RAT, que é executado assim que o pacote é importado, entra em contato com um servidor externo ("dydx.priceoracle[.]site/py") para recuperar comandos para execução subsequente no host. Em sistemas Windows, utiliza o sinalizador "CREATE_NO_WINDOW" para garantir que seja executado sem uma janela de console.
“O agente da ameaça demonstrou conhecimento detalhado dos componentes internos do pacote, inserindo código malicioso nos principais arquivos de registro (registry.ts, Registry.js, account.py) que seriam executados durante o uso normal do pacote”, disse Pandya.
“A ofuscação de 100 iterações na versão PyPI e a implantação coordenada entre ecossistemas sugerem que o ator da ameaça tinha acesso direto à infraestrutura de publicação, em vez de explorar uma vulnerabilidade técnica nos próprios registros.”
Após a divulgação responsável em 28 de janeiro de 2026, dYdX reconheceu o incidente em uma série de postagens no X e pediu aos usuários que possam ter baixado as versões comprometidas que isolassem as máquinas afetadas, transferissem fundos de um sistema limpo para uma nova carteira e alternassem todas as chaves e credenciais de API.
“As versões dos clientes dydx-v4 hospedadas no dydxprotocol Github não contêm o malware”, acrescentou.
Esta não é a primeira vez que o ecossistema dYdX é alvo de ataques à cadeia de abastecimento. Em setembro de 2022, Mend e Bleeping Computer relataram um caso semelhante em que a conta npm de um membro da equipe dYdX foi sequestrada para publicar novas versões de vários pacotes npm que continham código para roubar credenciais e outros dados confidenciais.
Dois anos depois, a exchange também divulgou que o site associado à plataforma dYdX v3, agora descontinuada, foi comprometido para redirecionar os usuários a um site de phishing com o objetivo de esgotar suas carteiras.
“Visto juntamente com o comprometimento da cadeia de suprimentos npm de 2022 e o incidente de sequestro de DNS de 2024, este ataque destaca um padrão persistente de adversários que visam ativos relacionados ao dYdX por meio de canais de distribuição confiáveis”, disse Socket.
"As implementações de roubo de credenciais quase idênticas em todos os idiomas indicam planejamento deliberado. O agente da ameaça manteve pontos de extremidade de exfiltração consistentes, chaves de API e lógica de impressão digital de dispositivos enquanto implantava vetores de ataque específicos do ecossistema. A versão npm concentra-se no roubo de credenciais, enquanto a versão PyPI adiciona acesso persistente ao sistema."
Riscos da cadeia de suprimentos com pacotes inexistentes
A divulgação ocorre no momento em que o Aikido detalha como os pacotes npm referenciados em arquivos e scripts README, mas nunca publicados, representam um vetor atraente de ataque à cadeia de suprimentos, permitindo que um agente de ameaça publique pacotes com esses nomes para distribuir malware.
A descoberta é a mais recente manifestação da crescente sofisticação das ameaças à cadeia de fornecimento de software, permitindo que agentes mal-intencionados comprometam vários utilizadores ao mesmo tempo, explorando a confiança associada aos repositórios de código aberto.
“Os invasores sofisticados estão avançando na cadeia de fornecimento de software porque ela fornece um caminho de acesso inicial profundo e de baixo ruído para ambientes downstream”, disse Omer Kidron da Sygnia.
"A mesma abordagem suporta tanto o comprometimento de precisão (um fornecedor específico, mantenedor ou identidade de construção) quanto oportunidades
As versões comprometidas dos dois pacotes estão listadas abaixo –
@dydxprotocol/v4-client-js (npm) - 3.4.1, 1.22.1, 1.15.2, 1.0.31
dydx-v4-client (PyPI) - 1.1.5post1
“Os pacotes @dydxprotocol/v4-client-js (npm) e dydx-v4-client (PyPI) fornecem aos desenvolvedores ferramentas para interagir com o protocolo dYdX v4, incluindo assinatura de transações, colocação de pedidos e gerenciamento de carteira”, observou o pesquisador de segurança do Socket, Kush Pandya. “Aplicativos que usam esses pacotes lidam com operações confidenciais de criptomoeda.”
dYdX é uma bolsa de criptomoedas descentralizada e sem custódia para margem de negociação e swaps perpétuos, ao mesmo tempo que permite aos usuários manter controle total sobre seus ativos. Em seu site, a bolsa DeFi afirma ter ultrapassado US$ 1,5 trilhão em volume acumulado de negociações.
Embora atualmente seja assim que essas atualizações envenenadas foram enviadas, suspeita-se que seja um caso de comprometimento da conta do desenvolvedor, já que as versões não autorizadas foram publicadas usando credenciais de publicação legítimas.
Descobriu-se que as mudanças introduzidas pelos atores da ameaça visam os ecossistemas JavaScript e Python com cargas úteis diferentes. No caso do npm, o código malicioso atua como um ladrão de carteiras de criptomoedas que extrai frases iniciais e informações do dispositivo. O pacote Python, por outro lado, também incorpora um trojan de acesso remoto (RAT) junto com a funcionalidade de ladrão de carteira.
O componente RAT, que é executado assim que o pacote é importado, entra em contato com um servidor externo ("dydx.priceoracle[.]site/py") para recuperar comandos para execução subsequente no host. Em sistemas Windows, utiliza o sinalizador "CREATE_NO_WINDOW" para garantir que seja executado sem uma janela de console.
“O agente da ameaça demonstrou conhecimento detalhado dos componentes internos do pacote, inserindo código malicioso nos principais arquivos de registro (registry.ts, Registry.js, account.py) que seriam executados durante o uso normal do pacote”, disse Pandya.
“A ofuscação de 100 iterações na versão PyPI e a implantação coordenada entre ecossistemas sugerem que o ator da ameaça tinha acesso direto à infraestrutura de publicação, em vez de explorar uma vulnerabilidade técnica nos próprios registros.”
Após a divulgação responsável em 28 de janeiro de 2026, dYdX reconheceu o incidente em uma série de postagens no X e pediu aos usuários que possam ter baixado as versões comprometidas que isolassem as máquinas afetadas, transferissem fundos de um sistema limpo para uma nova carteira e alternassem todas as chaves e credenciais de API.
“As versões dos clientes dydx-v4 hospedadas no dydxprotocol Github não contêm o malware”, acrescentou.
Esta não é a primeira vez que o ecossistema dYdX é alvo de ataques à cadeia de abastecimento. Em setembro de 2022, Mend e Bleeping Computer relataram um caso semelhante em que a conta npm de um membro da equipe dYdX foi sequestrada para publicar novas versões de vários pacotes npm que continham código para roubar credenciais e outros dados confidenciais.
Dois anos depois, a exchange também divulgou que o site associado à plataforma dYdX v3, agora descontinuada, foi comprometido para redirecionar os usuários a um site de phishing com o objetivo de esgotar suas carteiras.
“Visto juntamente com o comprometimento da cadeia de suprimentos npm de 2022 e o incidente de sequestro de DNS de 2024, este ataque destaca um padrão persistente de adversários que visam ativos relacionados ao dYdX por meio de canais de distribuição confiáveis”, disse Socket.
"As implementações de roubo de credenciais quase idênticas em todos os idiomas indicam planejamento deliberado. O agente da ameaça manteve pontos de extremidade de exfiltração consistentes, chaves de API e lógica de impressão digital de dispositivos enquanto implantava vetores de ataque específicos do ecossistema. A versão npm concentra-se no roubo de credenciais, enquanto a versão PyPI adiciona acesso persistente ao sistema."
Riscos da cadeia de suprimentos com pacotes inexistentes
A divulgação ocorre no momento em que o Aikido detalha como os pacotes npm referenciados em arquivos e scripts README, mas nunca publicados, representam um vetor atraente de ataque à cadeia de suprimentos, permitindo que um agente de ameaça publique pacotes com esses nomes para distribuir malware.
A descoberta é a mais recente manifestação da crescente sofisticação das ameaças à cadeia de fornecimento de software, permitindo que agentes mal-intencionados comprometam vários utilizadores ao mesmo tempo, explorando a confiança associada aos repositórios de código aberto.
“Os invasores sofisticados estão avançando na cadeia de fornecimento de software porque ela fornece um caminho de acesso inicial profundo e de baixo ruído para ambientes downstream”, disse Omer Kidron da Sygnia.
"A mesma abordagem suporta tanto o comprometimento de precisão (um fornecedor específico, mantenedor ou identidade de construção) quanto oportunidades
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pacotes #dydx #npm #e #pypi #comprometidos #entregam #ladrões #de #carteira #e #malware #rat
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário