黑客攻击了 dYdX 加密货币交易所的 NPM 账户

去中心化加密货币交易所 dYdX 使用的一些 NPM 包已被黑客入侵以访问用户的个人信息。 该平台由以太坊区块链提供支持，该区块链提供多种流行的加密货币交易选项，日均交易量接近 10 亿美元。

Diffend.io 创始人兼研究员 Maciej Mensfeld 报告说，他发现了几个损坏的 NPM 包，这些包秘密地安装了网络钓鱼程序。

☠️ [PLEASE SHARE] 如果您使用@dydx
@npmjs 软件包，不要将它们更新到最新版本，因为它们已被泄露：https://t.co/TDjBIQxwLihttps://t.co/9R3vRLJTU3

他们窃取凭据并窃取敏感数据#javascript #supplychain #cybersecurity #opensource pic.twitter.com/TDtrylumMK

– Maciej Mensfeld (@maciejmensfeld) 2022 年 9 月 23 日

有问题的软件包是从加密货币交易所员工的 NPM 帐户发布的，其中包含的代码在安装后允许黑客访问数据。

涉及的两个包及其版本：

• @dydxprotocol/solo – 版本 0.41.1、0.41.2
• @dydxprotocol/perpetual – 版本 1.2.2、1.2.3

这些包构成了 dYdX Solo 交易协议中使用的以太坊智能合约和 TypeScript 库。 考虑到 Solo 包，它被至少 44 个属于多个加密货币平台的 GitHub 存储库使用。

安装此软件包后，将开始下载预安装脚本，然后运行 ​​api.circle-cdn.com 上的 ci.js JavaScript 文件的内容。

package.json 文件中的恶意代码行。 资料来源：Bleepingcomputer.com。

代码获取用户的 GitHub 令牌、SSH 密钥和外部 IP 地址，然后将窃取的数据上传到 api.circle-cdn.com 域。

dYdX 开发者 Brandan Chou 感谢 Mensfeld 的警告。 他进一步证实，所有易受攻击的版本都已被删除，除了 [email protected]，这归因于 NPM 的暂时疏忽。 此外，该平台表示，该事件并未影响网站、应用程序、智能合约和资源。

在美国东部标准时间上午 6:14，我们发现了发布到许多 dYdX NPM 包的恶意版本，这些包被迅速删除。

🔒 所有资金都是安全的
✅ 我们的网站/应用程序没有被入侵
✅ 攻击没有影响智能合约

我们将尽快跟进验尸

— dYdX (@dYdX) 2022 年 9 月 23 日