サイバーセキュリティ企業Socketは、脅威アクターがdYdXクライアントパッケージの悪意あるバージョンをnpmおよびPyPIのエコシステムに公開したサプライチェーン攻撃を発見しました。
このインシデントは2026年1月27日に検知され、分散型取引所dYdXで暗号資産取引を行うためにこれらのツールを使用する開発者が標的となりました。
脅威アクターは、汚染されたパッケージをリリースするためにdYdXのメンテナーアカウントを侵害した可能性が高いとみられます。影響を受けたnpmパッケージ@dydxprotocol/v4-client-jsのバージョンは、3.4.1、1.22.1、1.15.2、1.0.31です。
PyPIパッケージdydx-v4-clientのバージョン1.1.5post1にもマルウェアが含まれていました。
これらのパッケージは、トランザクション署名やウォレット管理などのタスクのために、開発者がdYdX v4プロトコルとやり取りするのを支援します。dYdXは、240以上のパーペチュアル市場にわたり、累計取引高が1.5兆ドル超に達しています。
マルウェアはregistry.ts(npm)やaccount.py(PyPI)などのコアファイルに潜み、通常の利用中に実行されました。
Socketは1月28日にdYdXへ通知し、X上でシステムの隔離と認証情報のローテーションを促す公開警告が出されました。
npm版では、改ざんされたcreateRegistry()関数がシードフレーズとデバイスフィンガープリントを窃取します。データはPOSTでhttps://dydx.priceoracle.site/v4/priceへ送信され、dydx.xyzを模倣したタイポスクワッティングドメインが使用されています。
デバイスフィンガープリンティングは、MACアドレス、ホスト名、OSの詳細、マシンIDをSHA-256ハッシュにまとめ、被害者追跡に用います。空のtry-catchにより、エラーが開発者から隠されます。
PyPI版ではリモートアクセス型トロイの木馬(RAT)が追加されています。list_prices()関数はnpmの窃取動作を模倣し、_bootstrap.pyはconfig.pyから難読化されたペイロードを自動実行します。これは実行前に、reverse、base64デコード、zlib展開を100回反復します
RATはハードコードされたトークン(490CD9DAD3FAE1F59521C27A96B32F5D677DD41BF1F706A0BF85E69CA6EBFE75)を用いて、10秒ごとにhttps://dydx.priceoracle.site/pyへビーコン通信します。SSLチェックを無効化したうえで、隠しサブプロセス内でPythonコードを取得して実行します。
WindowsではCREATE_NO_WINDOWにより実行が隠蔽されます。攻撃者はユーザー権限を獲得し、SSH鍵、API認証情報、ソースコードの窃取、バックドアの導入、ネットワーク内での横展開が可能になります。
ドメインpriceoracle.siteは2026年1月9日に登録され、報告後は移管ロックが表示される状態になっています。
dYdXは2022年9月にnpmの侵害で認証情報が盗まれ、2024年7月にはDNSハイジャックによりフィッシング経由でウォレットが流出する被害も受けています。
影響として、npm利用者ではウォレット流出、PyPIではシステム全体の侵害が含まれます。不正なバージョンを使用している場合、トレーディングボット、アルゴ、DeFiアプリは高リスクです。
この複数エコシステムにまたがる攻撃(T1195.002)は、暗号資産開発ツールにおけるサプライチェーンリスクを浮き彫りにしています。開発者は厳格なスキャンを行う必要があります。
翻訳元: https://cyberpress.org/publish-malicious-dydx-packages/