Tu bot de trading ahora obedece a terceros: hallan una puerta trasera en las bibliotecas oficiales de dYdX
Sorpresa oculta en el código: ni siquiera los expertos la conocen.
Analistas de Socket detectaron un ataque dirigido a la cadena de suministro de bibliotecas para operar con el exchange de criptomonedas dYdX. Versiones maliciosas de paquetes cliente aparecieron simultáneamente en los repositorios npm y PyPI después de la compromisión de la cuenta de uno de los mantenedores. Las compilaciones modificadas se usaron para el robo de datos de monederos de criptomonedas y la ejecución encubierta de código remoto.
El equipo de especialistas informó que los paquetes suplantados correspondían al cliente dYdX v4 para JavaScript y Python. Estas herramientas se usan en bots de trading, estrategias algorítmicas y servicios de gestión de carteras. A través de ellas se procesan frases semilla, claves y operaciones de firma de transacciones, por lo que dichas dependencias tienen un valor elevado para los atacantes.
En npm se publicaron versiones infectadas de @dydxprotocol/v4-client-js con los números 1.0.31, 1.15.2, 1.22.1 y 3.4.1. En el índice de PyPI se vio afectada la versión dydx-v4-client 1.1.5post1. El código malicioso fue integrado dentro de los archivos principales de las bibliotecas y parecía lógica legítima. La publicación se realizó con permisos legítimos, lo que indica el compromiso de la cuenta de un mantenedor y no una vulnerabilidad de los propios repositorios.
La variante en JavaScript enviaba las frases semilla y la huella digital del dispositivo a un dominio externo, disfrazado como infraestructura de dYdX. La recopilación de la huella incluyó datos sobre el sistema operativo, el nombre del host y los identificadores del equipo. Los errores de envío se suprimían, por lo que la actividad sospechosa no quedaba reflejada en los registros.
El paquete de Python no solo contenía un módulo para el robo de datos, sino también un componente oculto de mando remoto. Se desplegaba automáticamente al importar la biblioteca, realizaba una descompresión en varias etapas y se conectaba con un servidor de control. A continuación se descargaba código arbitrario que se ejecutaba en segundo plano sin salida ni rastros visibles para el usuario. Este mecanismo permitía el acceso a claves, tokens de servicio, archivos fuente y a otros sistemas en la red.
La infraestructura para recibir datos se registró en enero de 2026 e imitaba un servicio de oráculos de precios. Tras la notificación por parte de Socket, el equipo de dYdX confirmó la existencia del problema y avisó a los desarrolladores. Las versiones maliciosas fueron detectadas poco después de su publicación.
Este no es el primer incidente en torno al ecosistema de dYdX. Anteriormente se registraron casos de suplantación de dependencias npm y de secuestro del DNS del dominio de la versión web del servicio. El ataque actual se distingue porque afectó a dos ecosistemas a la vez y añadió un mecanismo de acceso remoto encubierto. Los especialistas señalan un aumento del interés de los atacantes por paquetes criptográficos populares y recomiendan verificar las versiones de las dependencias y las fuentes de publicación.