Software malicioso permite a los hackers robar criptomonedas de usuarios
Los paquetes de código abierto que han sido publicados en los repositorios npm y PyPI han sido contaminados con componentes capaces de robar credenciales de monederos digitales pertenecientes a desarrolladores de dYdX y a sistemas backend y, en algunos casos, instalaron puertas traseras en los dispositivos afectados, según informaciones de investigadores y expertos.
Igualmente, advirtieron que cualquier aplicación que utilizara las versiones comprometidas de npm se encontraba en riesgo directo, con la posibilidad de un compromiso total del monedero y el robo irreversible de criptomonedas.
Además, señalaron que el alcance del ciberataque abarcaba todas las aplicaciones que dependían de esas versiones alteradas, tanto para desarrolladores que probaban con credenciales reales como para usuarios finales en entornos de producción.
Este ataque ha coincidido con la relevancia que tiene dYdX en el ecosistema de las finanzas descentralizadas, se trata de un exchange de derivados completamente descentralizado que opera cientos de mercados, para lo que se conoce como perpetual trading, es decir, apuestas con criptomonedas en torno al movimiento ascendente o descendente del valor de un derivado futuro.
Según firmas especializadas, dYdX ha procesado más de 1.6 billones de dólares en volumen negociado a lo largo de su vida útil, con promedios diarios que oscilan entre los 200 y los 500 millones, y cerca de 170 millones en interés abierto.
La plataforma ofrece bibliotecas de código utilizadas por aplicaciones de terceros para bots de trading, estrategias automatizadas o servicios backend, todos ellos manejando mnemónicos o claves privadas esenciales para firmar transacciones.
El malware insertado en el paquete npm incluía una función maliciosa oculta dentro del código legítimo; al procesar una frase semilla, que constituye el núcleo de la seguridad en un monedero, la función la exfiltraba junto con una huella digital del dispositivo que ejecutaba la aplicación.
TIC Defense es una empresa de ciberseguridad que se enfoca en la prevención y respuesta rápida a incidentes maliciosos mediante tecnología de punta, la cual aumenta las defensas informáticas de las organizaciones. Además, contamos con un conjunto de productos y servicios que se adaptan a las necesidades de las compañías.
Esa huella permitía que el ciberdelincuente correlacionara credenciales robadas y rastreara a las víctimas por medio de múltiples intrusiones. El dominio que recibía la frase semilla era dydx.priceoracle.site, una web desarrollada para imitar, mediante typosquatting, al servicio legítimo de dYdY ubicado en su dirección original, dydx.xyz.
El código malicioso presente en PyPI reproducía la misma función orientada al robo de credenciales. Además, incorporaba un troyano de acceso remoto capaz de ejecutar nuevo malware en los sistemas comprometidos. Esta puerta trasera recibía instrucciones desde el mismo dominio falso registrado en el mes de enero, diecisiete días antes de que el paquete infectado apareciera en PyPI.
El troyano se ejecutaba en segundo plano, enviaba señales al servidor de comando y control cada 10 segundos, recibía fragmentos de código Python y los ejecutaba en un subproceso aislado sin mostrar salida visible, utilizando un token de autorización incrustado directamente en el código.
Una vez instalado, el cibercriminal podía ejecutar código con privilegios de usuario, robar claves SSH, credenciales de API y repositorios de código, instalar puertas traseras persistentes, extraer archivos sensibles, vigilar la actividad de los usuarios, alterar archivos importantes y desplazarse lateralmente hacia otros sistemas de la red.
Los especialistas afirmaron que los paquetes han sido publicados por cuentas oficiales de dYdX tanto en npm como en PyPI, lo que indica que dichas cuentas han sido comprometidas también. La organización no ha respondido a las solicitudes de confirmación de la afectación.
