Compromised dYdX npm and PyPI Packages Deliver Wallet Stealers and RAT Malware

Attaque par la chaîne d’approvisionnement : des paquets malveillants dérobent des informations d’identification de portefeuille et installent des RAT

Des chercheurs en cybersécurité ont découvert une nouvelle attaque par la chaîne d’approvisionnement visant les dépôts de paquets npm et PyPI. Les versions compromises des bibliothèques @dydxprotocol/v4-client-js (npm) et dydx-v4-client (PyPI), utilisées pour interagir avec le protocole dYdX, contiennent désormais des charges utiles malveillantes.

Les attaquants auraient compromis les identifiants de publication légitimes pour injecter du code malveillant. Le paquet npm est conçu pour voler les phrases de récupération de portefeuille et les informations sur l’appareil. La version Python inclut un voleur de portefeuille ainsi qu’un cheval de Troie d’accès à distance (RAT) capable de télécharger et d’exécuter des commandes à distance, en utilisant l’indicateur CREATE_NO_WINDOW pour un fonctionnement furtif sous Windows. L’acteur de la menace a fait preuve d’une connaissance approfondie du fonctionnement interne des paquets, en insérant le code malveillant dans des fichiers clés pour qu’il s’exécute lors de l’utilisation normale.

dYdX a confirmé l’incident et a conseillé aux utilisateurs affectés d’isoler leurs machines, de déplacer leurs fonds vers un nouveau portefeuille et de faire pivoter leurs clés API et leurs identifiants.

L’article souligne également un risque connexe dans l’écosystème npm, où des “paquets fantômes” (paquets référencés dans la documentation mais jamais publiés) peuvent être revendiqués par des acteurs malveillants pour distribuer des logiciels malveillants.

Points clés :

• Compromission des paquets npm @dydxprotocol/v4-client-js et PyPI dydx-v4-client.
• Les paquets compromises visent à voler les informations d’identification des portefeuilles de cryptomonnaies.
• La version PyPI contient également un cheval de Troie d’accès à distance (RAT) pour une exécution de code arbitraire.
• Les versions malveillantes ont été publiées à l’aide d’identifiants de publication légitimes, suggérant une compromission des comptes de développeurs.
• Des attaques antérieures similaires ont visé l’écosystème dYdX.
• Risque de “paquets fantômes” dans npm, où des noms de paquets non enregistrés peuvent être revendiqués pour distribuer des logiciels malveillants.

Vulnérabilités :

• Aucune vulnérabilité spécifique de type CVE n’est mentionnée, l’attaque étant de nature “supply chain” via des identifiants compromis et la revendication de noms de paquets.

Recommandations :

• Pour les utilisateurs des paquets compromis :
  • Isoler les machines affectées.
  • Déplacer les fonds vers un nouveau portefeuille à partir d’un système propre.
  • Faire pivoter toutes les clés API et tous les identifiants.
• Pour atténuer les risques liés à npx et aux paquets fantômes :
  • Utiliser npx --no-install pour empêcher le téléchargement automatique des paquets non locaux.
  • Installer explicitement les outils CLI.
  • Vérifier l’existence d’un paquet avant de l’exécuter.
  • Enregistrer les alias et les fautes d’orthographe évidents pour empêcher les acteurs malveillants de les revendiquer.

Source