Pacotes oficiais da exchange descentralizada foram comprometidos em repositórios de código permitindo acesso remoto e roubo irreversível de fundos
Uma violação de segurança crítica atingiu a dYdX, uma das principais exchanges descentralizadas de derivativos de criptomoedas, resultando na distribuição de softwares maliciosos através de seus canais oficiais. A campanha cibernética, identificada pela empresa de cibersegurança Socket em 27 de janeiro de 2026, comprometeu simultaneamente os ecossistemas npm (JavaScript) e PyPI (Python), linguagens fundamentais para a automação de trading e finanças quantitativas. Os atacantes inseriram códigos capazes de drenar carteiras digitais e instalar Trojans de Acesso Remoto (RATs) nos dispositivos dos usuários.
O incidente explorou a confiança na cadeia de suprimentos de software. Criminosos obtiveram as credenciais de desenvolvedores legítimos da dYdX, o que lhes permitiu publicar versões infectadas dos pacotes @dydxprotocol/v4-client-js e dydx-v4-client. Estas bibliotecas são ferramentas essenciais utilizadas por programadores para criar aplicações que interagem com a plataforma, que movimenta bilhões de dólares diariamente.
Funcionamento do malware no ecossistema npm
No ambiente JavaScript, o ataque focou na exfiltração direta de ativos. O código malicioso foi injetado na função createRegistry(). Quando um usuário insere sua frase semente (seed phrase) — a sequência de palavras que funciona como chave mestra de uma carteira — o malware captura essa informação e a envia para o domínio dydx.priceoracle.site.
Além das chaves de acesso, o script coleta uma impressão digital detalhada do dispositivo da vítima, incluindo endereço MAC, nome do computador e versão do sistema operacional. Para evitar detecção, os invasores implementaram um bloco de código try-catch vazio. Isso garante que, caso ocorra algum erro no envio dos dados roubados, o sistema não emita alertas, mantendo a vítima alheia ao roubo em andamento.
Controle total via python e pypi
A versão do ataque direcionada ao Python apresentou um nível de sofisticação técnica ainda maior. Além de roubar credenciais através de uma função falsa de consulta de preços, o pacote instalava um Trojan de Acesso Remoto. O código malicioso estava ofuscado dentro do arquivo config.py, escondido como uma string de texto codificada em base64.
Ao ser executado, o malware realiza um processo complexo de desofuscação em 100 iterações para revelar seu conteúdo real. O trojan opera através de uma daemon thread, rodando silenciosamente em segundo plano e contatando o servidor dos atacantes a cada 10 segundos em busca de comandos. O script desabilita verificações de segurança SSL e redireciona qualquer saída de dados para o /dev/null, tornando sua execução invisível para o usuário.
Impacto e histórico de segurança
As consequências para os usuários afetados são severas. No caso do pacote npm, a exposição da frase semente permite o roubo total e irreversível dos fundos. Já para as vítimas do pacote PyPI, o risco estende-se ao comprometimento total do sistema, incluindo o roubo de chaves SSH e a possibilidade de movimentação lateral para outras máquinas na rede.
Este evento marca mais um episódio no histórico de ataques contra a dYdX. A plataforma já havia sofrido comprometimentos na cadeia de suprimentos em setembro de 2022 e um sequestro de DNS em julho de 2024. A complexidade do atual malware sugere a atuação de grupos de cibercrime altamente profissionais.
Medidas de mitigação recomendadas
Especialistas recomendam que desenvolvedores que utilizam pacotes financeiros adotem protocolos rigorosos de segurança. As principais orientações incluem:
- Utilização de ferramentas de varredura automatizada em pipelines de desenvolvimento;
- Monitoramento constante do tráfego de rede;
- Aplicação do princípio de menor privilégio para acessos de sistema;
- Verificação de hashes e assinaturas de pacotes antes da instalação;
- Segregação total entre ambientes de desenvolvimento e produção.