dYdX Distribue un Malware qui Vole des Portefeuilles de Cryptomonnaies
TL;DR
Une cyberattaque impliquant le protocole dYdX a compromis des paquets officiels, entraînant la distribution de malware capable de voler des portefeuilles numériques et d'installer un Trojan d'Accès à Distance (RAT).
Une cyberattaque impliquant le protocole dYdX a compromis des paquets officiels, entraînant la distribution de malware capable de voler des portefeuilles numériques et d'installer un Trojan d'Accès à Distance (RAT). Cette opération, découverte par la société de cybersécurité Socket le 27 janvier 2026, a touché simultanément les écosystèmes npm et PyPI, des outils indispensables aux développeurs.
La plateforme dYdX, une bourse décentralisée de cryptomonnaies, a déjà traité plus de 1,5 trillion de dollars et son volume moyen quotidien varie entre 200 et 540 millions de dollars. Les paquets @dydxprotocol/v4-client-js (npm) et dydx-v4-client (PyPI) sont critiques pour le développement d'applications interagissant avec le système, y compris la création et la gestion de portefeuilles.
Comment Fonctionne l'Attaque
Les attaquants ont réussi à accéder aux identifiants de développeurs légitimes, publiant des versions malveillantes des paquets dans les deux dépôts. Le code malveillant a été inséré dans des fichiers essentiels, tels que registry.ts et account.py, compromettant le système même lorsque les utilisateurs utilisaient les paquets normalement.
Dans le cas de npm, la fonction createRegistry() a été modifiée pour capturer la phrase de récupération (un mot de passe de 12 à 24 mots) et envoyer ces informations à un serveur contrôlé par les attaquants. La phrase de récupération est cruciale, car elle fournit un accès complet au portefeuille de cryptomonnaies.
Malware sur npm et PyPI
Le malware JavaScript ne vole pas seulement des identifiants, il collecte également des informations sur l'appareil de la victime, telles que le nom de l'ordinateur et le système d'exploitation, qui sont transformées en un code hash unique. Le code utilise un try-catch qui capture silencieusement les erreurs, garantissant que les utilisateurs ne remarquent pas la violation.
Dans la version de PyPI, l'attaque est encore plus sévère, car elle installe un RAT qui permet un contrôle à distance complet de l'ordinateur de la victime. L'installation de ce malware se fait déguisée sous la fonction list_prices(), qui devrait simplement consulter les prix de négociation.
Conséquences de l'Attaque
Les impacts sont significatifs. Les victimes de npm avec de vraies phrases de récupération ont perdu l'accès total à leurs portefeuilles, tandis que les utilisateurs de PyPI encourent un risque encore plus grand, les attaquants pouvant exécuter n'importe quel code sur leurs systèmes.
En plus du vol de portefeuilles, le RAT peut obtenir des identifiants d'accès aux serveurs et aux API, rendant la situation critique pour les développeurs qui dépendent de la sécurité de leurs outils. Ce n'est pas la première attaque ciblant dYdX; des incidents précédents ont également exploité des vulnérabilités dans ses opérations.
Implications et Sécurité Future
La complexité de l'attaque souligne le niveau de planification et de technique impliqué, semblable aux actions de groupes de cybercriminalité professionnels. L'incident démontre à quel point les développeurs font confiance aux paquets des dépôts officiels, renforçant ainsi la nécessité d'une évaluation de sécurité plus rigoureuse.
Les développeurs doivent implémenter des outils de vérification automatisés, surveiller le trafic et adopter des pratiques de sécurité telles que le principe du moindre privilège. De plus, maintenir des environnements de développement séparés de la production est crucial pour éviter de futures violations de sécurité.
Contenu selectionne et edite avec assistance IA. Sources originales referencees ci-dessus.
