dYdX teve pacotes oficiais no npm e no PyPI comprometidos, com roubo de seed phrases e instalação de um RAT. Quer entender como isso ocorreu e o que fazer agora?
O que é o dYdX e por que virou alvo
dYdX é uma exchange descentralizada de criptomoedas que foca em contratos e derivativos. Usuários operam direto com suas carteiras, sem intermediários ou custodiante. Por isso ela movimenta valores altos e chama atenção no mercado.
Por que virou alvo
Projetos populares atraem olhos bons e ruins. Atacantes miram o ecossistema que toca chaves e fundos dos usuários. Comprometer um pacote usado por muitos pode entregar acesso a carteiras e segredos.
Como os atacantes exploraram pacotes
Os invasores uparam versões maliciosas em repositórios públicos como npm e PyPI. Assim, quem instalou esses pacotes baixou código com funções perigosas. Esse código buscava dados locais e podia enviar informações para servidores externos.
Um dos alvos principais eram as seed phrases. Seed phrase é a sequência que restaura uma carteira. Quem a perde, perde controle sobre os fundos. O malware também tentou identificar arquivos e processos ligados a carteiras.
Instalação de um RAT
Além do roubo de frases, havia instalação de um RAT, sigla para Remote Access Trojan. Esse tipo de malware dá controle remoto ao atacante. Com ele, o invasor pode executar comandos, baixar mais arquivos e espionar a máquina.
Em resumo, a combinação de popularidade, confiança em pacotes oficiais e a presença de fundos transformou o projeto em alvo atraente para criminosos.
Como os atacantes comprometeram npm e PyPI
npm e PyPI são repositórios onde desenvolvedores publicam pacotes de código. Pacotes ligados ao dYdX foram publicados nesses locais. Quem instala esses pacotes recebe código para rodar no próprio computador.
Tipos de ataque
Os invasores usaram typosquatting, que cria nomes parecidos para enganar. Também houve takeover de contas de mantenedores usando senhas vazadas.
Táticas usadas
Versões maliciosas foram enviadas diretamente aos repositórios. O código perigoso podia rodar ao instalar ou importar o pacote.
Código malicioso e exfiltração
O malware buscava arquivos sensíveis e coletava seed phrases. Seed phrase é a sequência que recupera uma carteira de criptomoeda. Os dados eram enviados para servidores controlados pelos atacantes.
Uso de RAT e ofuscação
Alguns pacotes instalavam um RAT, que dá acesso remoto ao invasor. O código vinha ofuscado, o que dificulta a análise por pesquisadores.
Métodos de ocultação e distribuição
Os atacantes empacotaram binários e baixaram componentes extras pela rede. Como muitos projetos dependem desses pacotes, a disseminação foi rápida e silenciosa.
Malware no pacote JavaScript: captura de seed phrases e fingerprinting
O pacote JavaScript incluía código oculto capaz de roubar seed phrases e coletar dados de fingerprinting do sistema.
Como o malware captura seed phrases
O código monitorava a área de transferência, buscando sequências que lembram frases de recuperação. Também varria arquivos locais em busca de backups e chaves salvas. Em alguns casos, tentava detectar extensões de carteira abertas no navegador.
O que é fingerprinting
Fingerprinting é a coleta de dados do sistema para identificar usuários únicos. Isso inclui informações do navegador, sistema operacional e processos em execução. Com esses dados, o atacante escolhe alvos com maior chance de ter fundos.
Técnicas de ocultação
O malware vinha ofuscado para evitar análise simples. Partes do código só eram ativadas em máquinas específicas. Ele também baixava módulos extras só quando precisava atuar.
Riscos para quem usa pacotes npm
Quem instalou pacotes infectados pode ter perdido controle de carteiras. A perda da seed phrase significa perda de acesso aos fundos. Mesmo usuários cuidadosos podem ser afetados por dependências confiáveis comprometidas.
Como identificar sinais de ataque
Fique atento a processos estranhos consumindo rede ou CPU sem motivo. Verifique alterações em arquivos de configuração ou presença de binários desconhecidos. Logs e alertas do sistema ajudam a detectar comportamento suspeito.
Malware no pacote Python: RAT ofuscado, execução e bypass de SSL
O pacote Python continha um RAT ofuscado que dava acesso remoto ao sistema.
O que é um RAT
RAT significa Remote Access Trojan, um tipo de malware que controla o computador.
Com ele, invasores podem executar comandos, baixar arquivos e espionar atividades no sistema.
Ofuscação e execução
O código vinha ofuscado para esconder strings, a lógica maliciosa e funções do malware.
Alguns trechos só rodavam em máquinas específicas, evitando a análise automática por ferramentas.
Bypass de SSL
O malware tentou burlar SSL, que protege conexões entre cliente e servidor.
Bypass significa ignorar validações, permitindo que dados viajem sem checagem de segurança adequada.
Isso facilita comunicação com servidores controlados pelos atacantes, sem alertar o sistema.
Persistência e pós-exploração
O RAT instalava componentes que voltavam a rodar após reinícios do sistema.
Ele baixava módulos extras e abria portas de comunicação para comando remoto.
Arquivos e logs podiam ser apagados para esconder vestígios da ação maliciosa.
Como reduzir risco
Atualize dependências e verifique assinaturas de pacotes antes de instalar automaticamente.
Use ambientes isolados e scanners de malware para testar pacotes antes do uso.
Se encontrar binários suspeitos, desconecte da rede e peça ajuda especializada imediatamente.
Infraestrutura dos atacantes e impacto real para vítimas
dYdX atacado mostrou uma infraestrutura organizada e escalável usada pelos invasores.
A infraestrutura dos atacantes combinou servidores, domínios falsos e serviços em nuvem.
Eles usaram provedores com pouca fiscalização para manter o controle remoto constante.
Componentes da infraestrutura
Comandos vinham de servidores C2, sigla para command-and-control, que orquestram ações remotas.
Proxies, VPNs e redes de bots ocultavam a origem das conexões maliciosas.
Domínios clonados e typosquatting facilitaram a distribuição de pacotes maliciosos a desenvolvedores.
Servidores de exfiltração recebiam seed phrases, chaves e outros dados sensíveis dos usuários.
O uso de cloud functions e serviços de terceiros permitiu escalar ataques de forma rápida.
Impacto real para vítimas
Para as vítimas, o impacto foi imediato: perda de fundos e comprometimento de contas.
Além do dinheiro, usuários enfrentam limpeza forense, recuperação e custos legais e emocionais.
Algumas máquinas permaneceram monitoradas por semanas, aumentando o risco de novos vazamentos.
Como se proteger: práticas e ferramentas recomendadas
Use ambientes isolados para testar pacotes antes de instalar no sistema principal.
Boas práticas
Fixe versões, confira assinaturas digitais e evite atualizações automáticas sem revisão prévia.
Leia o código fonte com cuidado quando possível e verifique dependências de terceiros.
Ferramentas e verificações
Use scanners como npm audit e pip-audit regularmente para achar vulnerabilidades com frequência.
Integre ferramentas como Snyk ou Dependabot ao repositório para alertas automáticos e triagem.
Use análise estática de código, que detecta padrões perigosos sem executar o programa.
Proteção das seed phrases
Seed phrase deve ficar em lugar seguro e offline, sem cópias digitais.
Use hardware wallets para guardar fundos; eles isolam chaves do computador físico.
Nunca cole sua seed phrase em apps, sites ou conversas online.
Práticas operacionais
Habilite autenticação de dois fatores (2FA) nas contas de serviço e repositórios sempre.
Use senhas únicas e um gerenciador confiável, preferindo opções com forte criptografia.
Mantenha backups seguros de chaves e cópias de configuração importantes, guardados offline.
Se algo parecer suspeito
Desconecte imediatamente a máquina da internet e pare todas as atividades suspeitas.
Use ferramentas de limpeza e peça ajuda de peritos competentes em segurança sem demora.
Considere mover fundos para uma carteira nova e segura se houver suspeita de comprometimento.
Documente incidentes, recolha evidências e informe times e plataformas afetadas internamente.
Fonte: www.TecMundo.com.br