文章总结： 网络安全研究人员发现dYdX协议的npm和PyPI软件包遭供应链攻击，恶意版本窃取加密货币钱包凭证并植入远程访问木马。攻击者利用合法发布凭证推送恶意更新，针对JavaScript和Python生态分别实施凭证窃取和持久化访问。此次事件凸显开源供应链安全风险，建议用户使用npx–no-install阻止自动安装、验证包名存在性，并注册常见别名防抢注。 综合评分： 78 文章分类： 供应链安全,恶意软件,漏洞预警,安全建设,威胁情报

受感染的 dYdX npm 和 PyPI 软件包会传播钱包窃取程序和远程访问木马恶意软件

原创

ZM ZM

暗镜

2026年2月8日 12:00 北京

网络安全研究人员发现了一种新的供应链攻击，其中 npm 和 Python 包索引 (PyPI) 存储库上的合法软件包已被入侵，以推送恶意版本，从而窃取钱包凭证和执行远程代码。

下面列出了这两个软件包的受感染版本 –

• @dydxprotocol/v4-client-js (npm) – 3.4.1、1.22.1、1.15.2、1.0.31
• dydx-v4-客户端(PyPI) – 1.1.5post1

Socket 安全研究员 Kush Pandya 指出：“@dydxprotocol/v4-client-js (npm) 和 dydx-v4-client (PyPI) 软件包为开发者提供了与 dYdX v4 协议交互的工具，包括交易签名、下单和钱包管理。使用这些软件包的应用程序会处理敏感的加密货币操作。”

dYdX是一个非托管的去中心化加密货币交易所，提供保证金交易和永续合约，同时允许用户完全掌控自己的资产。该 DeFi 交易所在其网站上宣称，其累计交易量已超过 1.5 万亿美元。

虽然目前这些恶意更新就是这样推送的，但怀疑这是一起开发者账户被盗用的案例，因为这些恶意版本是使用合法的发布凭证发布的。

攻击者引入的变更被发现针对 JavaScript 和 Python 生态系统，并携带不同的恶意代码。对于 npm 包，恶意代码会窃取加密货币钱包信息和助记词。而 Python 包则除了钱包窃取功能外，还集成了远程访问木马 (RAT)。

RAT 组件在软件包导入后立即运行，它会联系外部服务器（“dydx.priceoracle[.]site/py”）以获取命令，以便在主机上执行。在 Windows 系统上，它使用“ CREATE_NO_WINDOW ”标志来确保在没有控制台窗口的情况下执行。

Pandya表示：“该威胁行为者对软件包内部结构表现出了详细的了解，将恶意代码插入到核心注册表文件（registry.ts、registry.js、account.py）中，这些代码会在软件包正常使用期间执行。”

“PyPI 版本中 100 次迭代的混淆以及协调的跨生态系统部署表明，威胁行为者可以直接访问发布基础设施，而不是利用注册表本身的技术漏洞。”

2026 年 1 月 28 日，dYdX 在 X 上发布了一系列帖子，负责任地披露了此事，并敦促可能下载了受损版本的用户隔离受影响的机器，将资金从干净的系统转移到新的钱包，并轮换所有 API 密钥和凭证。

声明还补充道：“托管在 dydxprotocol Github 上的 dydx-v4-clients 版本不包含恶意软件。”

这并非 dYdX 生态系统首次成为供应链攻击的目标。2022 年 9 月，Mend和Bleeping Computer曾报道过一起类似案例：一名 dYdX 员工的 npm 账户被盗用，并发布了多个 npm 包的新版本，这些包中包含窃取凭证和其他敏感数据的代码。

年后，该交易所还透露，与其现已停止运营的dYdX v3 平台相关的网站遭到入侵，被重定向到一个钓鱼网站，目的是掏空用户的钱包。

Socket 表示：“结合 2022 年 npm 供应链泄露事件和 2024 年 DNS 劫持事件来看，此次攻击凸显了攻击者通过可信分发渠道攻击 dYdX 相关资产的持续模式。”

“不同语言中几乎相同的凭证窃取实现方式表明攻击者经过了精心策划。攻击者在部署特定生态系统的攻击向量的同时，保持了一致的数据窃取端点、API密钥和设备指纹识别逻辑。npm版本侧重于凭证窃取，而PyPI版本则增加了持久系统访问权限。”

供应链中不存在的包裹带来的风险

此次披露源于 Aikido 详细阐述了 README 文件和脚本中引用但从未实际发布的 npm 包如何构成有吸引力的供应链攻击途径，允许威胁行为者以这些名称发布软件包来传播恶意软件。

这一发现是软件供应链威胁日益复杂化的最新表现，它使不法分子能够利用人们对开源代码库的信任，同时攻击多个用户。

Sygnia 的 Omer Kidron表示：“老练的攻击者正在向上游软件供应链移动，因为这样可以找到一条深入、低干扰的初始访问路径，进入下游环境。”

“同样的方法既支持精准入侵（针对特定供应商、维护者或构建者的身份），也支持通过广泛信任的生态系统进行大规模机会主义攻击（‘喷洒’）——这使得它与所有组织都相关，无论他们是否将自己视为主要目标。”

Aikido 的分析发现，这 128 个虚拟软件包在 2025 年 7 月至 2026 年 1 月期间累计下载量达 121,539 次，平均每周下载 3,903 次，上个月的下载量峰值达到 4,236 次。下载量最高的软件包如下：

• openapi-generator-cli（下载量 48,356 次），它模仿了 @openapitools/openapi-generator-cli
• cucumber-js（下载量 32,110 次），它模仿了 @cucumber/cucumber
• depcruise（下载量 15,637 次），模仿 dependency-cruiser
• jsdoc2md（4,641 次下载）
• grpc_tools_node_protoc（下载量：4,518）
• vue-demi-switch（下载量：1,166）

安全研究员查理·埃里克森表示： “Openapi-generator-cli 在过去七天内就被下载了 3994 次。这意味着在一周内，有人试图运行一个不存在的命令近 4000 次。”

研究结果凸显了 npm 的拼写抢注保护机制的一个盲点：虽然该机制会积极阻止用户注册与现有软件包拼写相似的名称，但却无法阻止用户创建从未注册过的软件包名称，因为没有可供比较的对象。

为了降低因 npx 混淆而带来的风险，合气道建议采取以下步骤 –

• 使用“ npx –no-install ”可以阻止注册表回退，这样如果本地找不到软件包，安装就会失败。
• 显式安装 CLI 工具
• 如果文档要求用户运行某个软件包，请验证该软件包是否存在。
• 注册明显的别名和拼写错误，以防止不法分子认领这些域名。

“npm 生态系统拥有数百万个软件包，”埃里克森说。“开发者每天运行数千次 npx 命令。‘便捷的默认设置’和‘任意代码执行’之间的差距，仅仅在于一个未被认领的软件包名称。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《受感染的 dYdX npm 和 PyPI 软件包会传播钱包窃取程序和远程访问木马恶意软件》