Des paquets malveillants visant la plateforme d'échange de cryptomonnaies dYdX vident les portefeuilles des utilisateurs

duJambon

C’est au moins la troisième fois que ce site est pris pour cible par des voleurs.

Des chercheurs en cybersécurité ont découvert que plusieurs paquets open source malveillants publiés sur npm et PyPI ciblaient les développeurs et applications liés à la plateforme de trading décentralisée dYdX. Ces paquets contenaient du code capable de voler des phrases de récupération, des clés privées et des identifiants sensibles, entraînant le piratage complet de portefeuilles crypto et la perte irréversible de fonds.

Les versions compromises concernaient des bibliothèques officielles JavaScript et Python de dYdX, ce qui suggère que les comptes de publication de dYdX ont été compromis. Le malware exfiltrait les données vers un domaine frauduleux imitant dYdX (typosquatting).
Sur PyPI, le code allait encore plus loin en intégrant un cheval de Troie d’accès à distance (RAT) permettant aux attaquants d’exécuter du code à distance, d’espionner les systèmes, de voler des clés (SSH, API), d’installer des portes dérobées et de se déplacer sur le réseau.

Cette attaque touche toutes les applications dépendant de ces versions, aussi bien en développement qu’en production. Elle s’inscrit dans une série d’attaques répétées contre dYdX, après une compromission npm en 2022 et un détournement DNS en 2024.

Les chercheurs recommandent à tous les utilisateurs et développeurs d’auditer immédiatement leurs applications et de supprimer toute dépendance aux paquets infectés.

Pour le détail des paquets voir: https://arstechnica.com/security/2026/02/malicious-packages-for-dydx-cryptocurrency-exchange-empties-user-wallets/

Open source, n’est pas synonyme de sécurité.