Hakerzy włamały się do kont deweloperów zdecentralizowanej giełdy kryptowalut dYdX i wprowadzili wirusa do oficjalnych pakietów oprogramowania (npm i PyPI). Włamanie wykryli specjaliści z Socket.
Pakiety npm i PyPI są używane przez programistów do pracy z protokołami giełdy, w tym do tworzenia portfeli i przeprowadzania transakcji. Ponieważ przez dYdX przechodzą miliardy dolarów, skala zagrożenia okazała się niezwykle wysoka.
Celem ataku były frazy seed portfeli kryptowalutowych. Gdy tylko deweloper stykał się z zainfekowaną biblioteką, wirus kopiował klucze dostępu i wysyłał je na serwer hakerów. Hakerzy używali adresów stron, które wizualnie niemal nie różnią się od oficjalnych domen giełdy.
