Socket のセキュリティアナリストは、dYdX暗号資産取引所に関連するライブラリを標的とした、外科的なサプライチェーン侵入を暴きました。メンテナーの認証情報が侵害された後、npmおよびPyPIのリポジトリ内にクライアントパッケージの悪意ある改変版が同時に出現しました。これらの改ざんビルドは、暗号資産ウォレットのデータを流出させ、リモートコードを密かに実行できるよう設計されていました。
技術者集団は、影響を受けたパッケージがJavaScriptとPythonの両方に向けたdYdX v4クライアントに関するものだと報告しました。これらのツールは、自動売買ボット、アルゴリズム戦略、ポートフォリオ管理サービスの基盤となっています。シードフレーズ、暗号鍵、トランザクション署名処理を扱うため、この種の依存関係は攻撃者にとって高価値の標的となります。
npmレジストリでは、@dydxprotocol/v4-client-jsの侵害されたバージョンが、1.0.31、1.15.2、1.22.1、3.4.1のタグで配布されました。同時に、PyPIディレクトリはdydx-v4-clientのバージョン1.1.5post1によって汚染されました。有害なコードは中核ライブラリファイルに違和感なく組み込まれ、正当な動作ロジックを装っていました。公開は正規のアカウントから行われており、リポジトリ基盤そのものの脆弱性ではなく、認証情報の乗っ取りを示しています。
JavaScript版は、シードフレーズとデバイスのデジタルフィンガープリントを、正規のdYdXインフラを装った第三者ドメインへ送信(流出)するようプログラムされていました。このフィンガープリンティングには、OSのテレメトリ、ホスト名、固有のマシン識別子が含まれていました。特筆すべき点として、送信エラーは抑制されており、この異常な活動がシステムログに残らないようにされていました。
Pythonパッケージはさらに踏み込み、データ流出モジュールだけでなく、秘匿されたリモート管理コンポーネントも内包していました。ライブラリをインポートすると、このコンポーネントは多段階の展開(解凍)シーケンスを開始し、その後コマンド&コントロール(C2)サーバーとの接続を確立しました。これにより、バックグラウンドで静かに実行される任意コードの配備が可能となり、犯行者は秘密鍵、サービストークン、ソースファイル、相互接続されたネットワークシステムへアクセスできるようになっていました。
流出に用いられたインフラは2026年1月に登録され、疑いを避けるため価格オラクルサービスを模倣していました。Socketからの通知を受け、dYdXチームは侵害を確認し、開発者に注意を促す指示を出しました。侵害されたリリースは公開後まもなく特定され、無効化されました。
この事件はdYdXエコシステムにおける孤立した出来事ではありません。過去の侵入では、npm依存関係の改ざんや、WebサービスのDNSレコードの乗っ取りが含まれていました。しかし今回の攻撃は、2つの異なるエコシステムにまたがる同期的な到達範囲と、永続的なリモートアクセス機構の追加によって際立っています。専門家は、著名な暗号資産パッケージに対する攻撃者の関心が高まっていることを強調し、依存関係のバージョンと公開元(プロビナンス)の厳格な監査を推奨しています。
