Seed-фразы, ключи и чужой код. Рассказываем, как хакеры взломали библиотеки dYdX
Теперь внутри кода прячется сюрприз, о котором не знают даже профи.
Аналитики Socket обнаружили целевую атаку на цепочку поставок библиотек для работы с криптобиржей dYdX. Вредоносные версии клиентских пакетов одновременно появились в репозиториях npm и PyPI после компрометации учётной записи одного из сопровождающих. Изменённые сборки использовались для кражи данных криптокошельков и скрытого запуска удалённого кода.
Команда специалистов сообщила, что подменённые пакеты относились к dYdX v4 client для JavaScript и Python. Эти инструменты применяются в торговых ботах, алгоритмических стратегиях и сервисах управления портфелями. Через них обрабатываются seed-фразы, ключи и операции подписи транзакций, поэтому такие зависимости представляют повышенную ценность для злоумышленников.
В npm были опубликованы заражённые версии @dydxprotocol/v4-client-js с номерами 1.0.31, 1.15.2, 1.22.1 и 3.4.1. В каталоге PyPI затронута версия dydx-v4-client 1.1.5post1. Вредоносный код был встроен внутрь основных файлов библиотек и выглядел как штатная логика. Публикация выполнена с легитимными правами, что указывает на захват аккаунта сопровождающего, а не на уязвимость самих репозиториев.
JavaScript вариант отправлял seed-фразы и цифровой отпечаток устройства на сторонний домен, замаскированный под инфраструктуру dYdX. Сбор отпечатка включал данные об операционной системе, имени хоста и идентификаторах машины. Ошибки передачи подавлялись, поэтому подозрительная активность не отражалась в журналах.
Python пакет содержал не только модуль кражи данных, но и скрытый компонент удалённого управления. Он разворачивался автоматически при импорте библиотеки, проходил многоэтапную распаковку и связывался с управляющим сервером. После этого загружался произвольный код, который выполнялся в фоне без вывода и следов для пользователя. Такой механизм позволял получать доступ к ключам, служебным токенам, исходным файлам и другим системам в сети.
Инфраструктура для приёма данных была зарегистрирована в январе 2026 года и имитировала сервис ценовых оракулов. После уведомления со стороны Socket команда dYdX подтвердила наличие проблемы и предупредила разработчиков. Вредоносные выпуски были выявлены вскоре после публикации.
Это не первый инцидент вокруг экосистемы dYdX. Ранее фиксировались случаи подмены npm зависимостей и перехвата DNS домена веб-версии сервиса. Текущая атака отличается тем, что затронула сразу две экосистемы и добавила механизм скрытого удалённого доступа. Специалисты отмечают рост интереса атакующих к популярным криптопакетам и рекомендуют проверять версии зависимостей и источники публикации.