Uma sofisticada operação de cibercriminosos comprometeu pacotes oficiais do protocolo dYdX, uma corretora descentralizada de criptomoedas. A ação resultou na distribuição de um malware capaz de roubar carteiras digitais e instalar trojans de acesso remoto em dispositivos. A campanha foi descoberta pela empresa de cibersegurança Socket em 27 de janeiro de 2026, afetando simultaneamente os ecossistemas npm (JavaScript) e PyPI (Python), linguagens cruciais para desenvolvedores e automação de trading.
dYdX: Um Alvo de Grande Valor
O dYdX é uma exchange descentralizada de derivativos de criptomoedas com um histórico de mais de US$ 1,5 trilhão movimentados. Seu volume diário médio varia entre US$ 200 e 540 milhões, tornando-a um alvo atrativo. Os pacotes comprometidos, como @dydxprotocol/v4-client-js (npm) e dydx-v4-client (PyPI), são ferramentas essenciais para que desenvolvedores criem aplicações que interagem com a plataforma, incluindo a assinatura de transações e o gerenciamento de carteiras.
Como o Ataque Operou
Os criminosos conseguiram acesso às credenciais de desenvolvedores legítimos, o que permitiu a publicação de versões maliciosas dos pacotes nos repositórios npm e PyPI. O código invasor foi inserido de forma discreta em arquivos centrais, como registry.ts, registry.js e account.py. Esses arquivos são o coração do sistema, responsáveis por funções como a criação de carteiras e a assinatura de transações, garantindo que o malware fosse executado silenciosamente em segundo plano quando as vítimas utilizassem o pacote normalmente.
As Duas Frentes do Malware
Versão JavaScript (npm)
No pacote JavaScript, os atacantes modificaram a função createRegistry(). Quando a vítima informava sua frase semente (seed phrase), a chave mestra que dá acesso total e irreversível à carteira de criptomoedas, o código malicioso a capturava. Essa informação crucial era enviada secretamente para um servidor controlado pelos criminosos, no endereço dydx.priceoracle.site. Além disso, o malware coletava uma impressão digital do dispositivo da vítima, como endereço MAC, nome do computador e sistema operacional, transformando-as em um código único para rastrear e identificar alvos de alto valor. Para evitar detecção, o código utilizava um mecanismo que silenciava erros, fazendo com que a vítima não percebesse falhas na transmissão dos dados roubados.
Versão Python (PyPI)
A versão Python do malware ia além do roubo de credenciais. Disfarçada em uma função chamada list_prices(), ela instalava um Trojan de Acesso Remoto (RAT), concedendo aos atacantes controle completo sobre o computador da vítima. O RAT estava oculto em componentes como o arquivo config.py, que continha o código malicioso codificado em base64 – uma técnica para esconder dados. O arquivo _bootstrap.py ativava o ataque automaticamente quando o pacote era importado, e sofisticadas técnicas de ofuscação e desobfuscação eram empregadas para dificultar a detecção.
Este incidente sublinha a constante necessidade de vigilância no ecossistema das criptomoedas e a importância de verificar a autenticidade de qualquer software ou pacote utilizado para operações financeiras digitais.
Acompanhe o Altos News para mais atualizações sobre segurança digital e criptomoedas.
Fonte: https://www.tecmundo.com.br
