dYdX Distribuye Malware que Roba Carteras de Criptomonedas
TL;DR
Un ataque cibernético relacionado con el protocolo dYdX comprometió paquetes oficiales, resultando en la distribución de malware que roba carteras digitales e instala un troyano de acceso remoto (RAT).
Un ataque cibernético relacionado con el protocolo dYdX comprometió paquetes oficiales, resultando en la distribución de malware que roba carteras digitales e instala un Troyano de Acceso Remoto (RAT). Esta operación, descubierta por la empresa de ciberseguridad Socket el 27 de enero de 2026, afectó simultáneamente a los ecosistemas npm y PyPI, herramientas imprescindibles para desarrolladores.
La plataforma dYdX, un intercambio descentralizado de criptomonedas, ha procesado más de US$ 1.5 billones y su promedio de volumen diario varía entre US$ 200 y 540 millones. Los paquetes @dydxprotocol/v4-client-js (npm) y dydx-v4-client (PyPI) son críticos para el desarrollo de aplicaciones que interactúan con el sistema, incluyendo la creación y gestión de carteras.
Cómo Funciona el Ataque
Los atacantes lograron acceder a las credenciales de desarrolladores legítimos, liberando versiones maliciosas de los paquetes en ambos repositorios. El código malicioso fue insertado en archivos esenciales, como registry.ts y account.py, comprometiendo el sistema incluso cuando los usuarios usaban los paquetes normalmente.
En el caso de npm, la función createRegistry() fue alterada para capturar la seed phrase (una contraseña de 12 a 24 palabras) y enviar esta información a un servidor controlado por los atacantes. La seed phrase es crucial, ya que proporciona acceso total a la cartera de criptomonedas.
Malware en npm y PyPI
El malware en JavaScript no solo roba credenciales, sino que también recopila información del dispositivo de la víctima, como el nombre de la computadora y el sistema operativo, que se transforma en un código hash único. El código utiliza un try-catch que captura errores en silencio, asegurando que los usuarios no perciban la violación.
En la versión de PyPI, el ataque es aún más severo, ya que instala un RAT que permite control remoto completo de la computadora de la víctima. La instalación de este malware ocurre disfrazada bajo la función list_prices(), que debería solo consultar precios de negociación.
Consecuencias del Ataque
Los impactos son significativos. Las víctimas de npm con seed phrases reales perdieron el acceso total a sus carteras, mientras que los usuarios de PyPI enfrentan un riesgo aún mayor, con los atacantes capaces de ejecutar cualquier código en sus sistemas.
Además del robo de carteras, el RAT puede obtener credenciales de acceso a servidores y APIs, lo que convierte la situación en crítica para los desarrolladores que dependen de la seguridad de sus herramientas. Este no es el primer ataque dirigido a dYdX; incidentes anteriores también han explorado vulnerabilidades en sus operaciones.
Implicaciones y Seguridad Futura
La complejidad del ataque destaca el nivel de planificación y técnica involucrada, similar a las acciones de grupos de cibercrimen profesionales. El incidente demuestra cuánto confían los desarrolladores en paquetes de repositorios oficiales, reforzando la necesidad de una evaluación de seguridad más rigurosa.
Los desarrolladores deben implementar herramientas automatizadas de verificación, monitoreo de tráfico y adoptar prácticas de seguridad como el principio de menor privilegio. Además, mantener entornos de desarrollo separados de producción es crucial para evitar futuras violaciones de seguridad.
Contenido seleccionado y editado con asistencia de IA. Fuentes originales referenciadas arriba.
